Shopping cart

Magazines cover a wide array subjects, including but not limited to fashion, lifestyle, health, politics, business, Entertainment, sports, science,

Breaking news :
Une faille critique dans un plugin WordPress met en danger plus de 800 000 sites web
Scattered Spider détourne VMware ESXi pour des attaques de ransomware à grande échelle
CastleLoader : une vaste campagne de malwares vise près de 500 organisations dans le monde

Vulnérabilités critiques dans SysAid : la CISA alerte sur des exploitations actives

Des failles critiques dans la plateforme ITSM SysAid font l’objet d’exploitations actives. La Cybersecurity and Infrastructure Security Agency (CISA) américaine a intégré l’une d’entre elles à son catalogue des vulnérabilités activement exploitées (KEV), imposant ainsi des délais de correction stricts pour les agences fédérales et appelant toutes les organisations à la vigilance.

Une faille exploitée par des groupes APT

La vulnérabilité en question est identifiée sous le numéro CVE-2023-47246. Il s’agit d’une faille de type path traversal permettant à un attaquant non authentifié d’exécuter du code arbitraire à distance sur un serveur SysAid vulnérable.

Cette faille a été signalée pour la première fois par l’équipe de Microsoft Threat Intelligence en novembre 2023. Elle a été activement exploitée par le groupe Lace Tempest, connu pour ses liens avec le déploiement de Clop ransomware et d’autres campagnes de cyber-extorsion à grande échelle.

Détail de l’exploitation

Le vecteur d’attaque repose sur l’exploitation de la fonction de téléchargement de fichiers (file upload) de SysAid. En l’absence de contrôles de validation suffisants, il est possible pour un attaquant d’injecter un fichier WebShell dans le système de fichiers du serveur. Cela permet ensuite l’exécution à distance de commandes arbitraires.

Une fois la brèche établie, Lace Tempest procède à :

  • L’installation d’outils de persistance

  • L’exfiltration de données

  • Le déplacement latéral dans le réseau

  • Le chiffrement des systèmes à l’aide de Clop ou d’autres ransomwares

Intégration au catalogue KEV de la CISA

Le 11 juillet 2025, la CISA a ajouté cette faille à sa base Known Exploited Vulnerabilities (KEV), contraignant toutes les entités du secteur public américain à appliquer les correctifs avant le 1er août 2025.

Cette inscription signifie que la vulnérabilité représente une menace confirmée, en cours d’exploitation réelle, et nécessite une réponse rapide.

Correctif disponible et recommandations

SysAid a publié un correctif dès novembre 2023, dans la version 23.3.36 de son logiciel. Toutes les versions antérieures sont considérées comme vulnérables.

Mesures recommandées :

  1. Appliquer immédiatement les mises à jour de sécurité fournies par SysAid.

  2. Auditer les serveurs à la recherche de signes d’exploitation ou de présence de WebShells.

  3. Surveiller les journaux d’activité pour détecter les connexions suspectes ou non autorisées.

  4. Isoler les systèmes affectés pour éviter une propagation latérale.

  5. Mettre en place une surveillance renforcée des endpoints et des connexions sortantes vers des domaines ou IP inconnus.

Enjeux pour les organisations

Les plateformes ITSM comme SysAid occupent une place centrale dans les infrastructures IT modernes. Une compromission de ce type peut donner à un attaquant un accès direct :

  • Aux systèmes de ticketing et d’incidents

  • Aux informations sur les utilisateurs, machines et configurations

  • Aux accès privilégiés utilisés dans la gestion quotidienne de l’infrastructure

Cela en fait une cible prioritaire pour les groupes de menace avancés, qui cherchent à obtenir un effet de levier maximal en compromettant les outils utilisés par les équipes IT elles-mêmes.

Une menace persistante et stratégique

Le groupe Lace Tempest est l’un des plus actifs sur la scène du ransomware depuis plusieurs années. Il est notamment responsable de l’exploitation de failles dans MOVEit Transfer, GoAnywhere, et SolarWinds Serv-U. Sa capacité à tirer parti rapidement de nouvelles vulnérabilités en fait un acteur extrêmement dangereux, notamment dans le contexte des attaques contre les fournisseurs de services IT.

Conclusion

La faille CVE-2023-47246 dans SysAid rappelle la nécessité d’une gestion proactive des vulnérabilités, en particulier pour les outils d’administration. L’exploitation active par des groupes APT montre que le délai entre la divulgation d’une faille et son exploitation réelle ne cesse de se raccourcir.

Les responsables de la cybersécurité doivent s’assurer que les correctifs critiques sont appliqués sans délai et que les systèmes ITSM bénéficient de la même attention que les infrastructures critiques.

Source : CISA, Microsoft Threat Intelligence, SysAid – Juillet 2025
Rédaction : cybersecurite.com

cybersecurite.com
Powered by  GDPR Cookie Compliance
Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.