Microsoft meldt actieve aanvallen via Log4j-lek in helpdesksoftware SysAid

[Captain Kirk]

Aanvallers maken actief misbruik van Log4j-kwetsbaarheden in helpdesksoftware SysAid om organisaties aan te vallen, zo meldt Microsoft. SysAid biedt software voor helpdesks en it-servicemanagement. Via de software kunnen helpdesks onder andere toegang krijgen tot systemen van medewerkers binnen de organisatie. Net als allerlei andere software maken ook de producten van SysAid gebruik van de Log4j-library waarin eind 2021 een ernstige kwetsbaarheid werd ontdekt.

Voor organisaties die de SysAid-software zelf hosten kwam SysAid met verschillende beveiligingsupdates. Aanvallers maken nu gebruik van Log4j-kwetsbaarheden in de SysAid-software voor het aanvallen van Israëlische organisaties, aldus Microsoft. Zodra er toegang tot de server is gekregen installeren de aanvallers een webshell om toegang te behouden, stelen inloggegevens en bewegen zich via zelfontwikkelde en bekende hackingtools, alsmede in het besturingssysteem ingebouwde tools, lateraal door het netwerk van de organisatie.

Volgens Microsoft zijn de aanvallen zeer waarschijnlijk uitgevoerd door een statelijke actor gelieerd aan het Iraanse ministerie van Inlichtingen en Veiligheid. De betreffende groep, door Microsoft "Mercury" genoemd die ook bekendstaat als MuddyWater, heeft in het verleden vaker gebruikgemaakt van Log4j-kwetsbaarheden in VMware. Het is echter voor het eerst dat de software van SysAid op de korrel wordt genomen.

Microsoft adviseert organisaties die van SysAid gebruikmaken om de beschikbaar gestelde beveiligingsupdates te installeren mocht dat nog niet zijn gedaan. Het techbedrijf heeft ook Indicators of Compromise gepubliceerd, waaronder ip-adressen waar de aanvallers gebruik van maken. Organisaties zouden deze adressen moeten blokkeren, aldus Microsoft. Verder wordt aangeraden om multifactorauthenticatie voor alle remote accounts in te stellen.

 

bron: https://www.security.nl