Hackere har brugt en to-årig sårbarhed i en softwarepakke, der anvendes af remote IT-support virksomheder at få fodfæste på sårbare netværk og implementere GandCrab ransomware på de virksomheder’ kunde arbejdsstationer.
Den berygtede GandCrab ransomware er blevet fordelt ved hjælp af en to-årig sikkerhedshul (CVE-2017-18.362) i en softwarepakke, der anvendes af remote IT sikkerhedsfirmaer, sikkerhedseksperter siger. Sårbarheden er udnyttet til at give adgang til sårbare netværk og distribuere ransomware nyttelast. Sårbarheden pågældende påvirker Kaseya plugin til ConnectWise Administrer software, som er en professionel service automatisering produkt til IT-support.
CVE-2017-18.362 i Kaseya Plugdin Opdaget i 2017
i november 2017, Alex Wilson, en sikkerhed forsker, afdækket en SQL-injektion kendt som CVE-2017-18.362 i dette plugin. Sårbarheden kan give en hacker mulighed for at oprette nye administrator-konti på de vigtigste Kaseya app, ZDNet rapporteret. Forskeren offentliggjorde også proof-of-concept-kode på GitHub, der kunne automatisere angrebet.
Her er den officiel beskrivelse af CVE-2017-18.362:
ConnectWise ManagedITSync integration gennem 2017 til Kaseya VSA er sårbar over for ikke-godkendte eksterne kommandoer, der giver fuld direkte adgang til Kaseya VSA-databasen. I februar 2019, angribere har aktivt udnyttet dette i naturen for at downloade og eksekvere ransomware nyttelast på alle endpoints forvaltes af VSA-serveren. Hvis ManagedIT.asmx side er tilgængelig via Kaseya VSA webinterface, alle med adgang til siden er i stand til at køre vilkårlige SQL-forespørgsler, både læse og skrive, uden godkendelse.
Tilsyneladende, Kaseya lappet fejlen, men det lader til, at mange virksomheder har undladt at installere den opdaterede plugin, hvilket giver deres netværk sårbare over for angreb.
relaterede Story: GandCrab Ransomware virus - hvordan du fjerner det
Rapporter viser, at angreb baseret på CVE-2017-18.362 fejl startede omkring to uger siden. En særlig rapport delt på Reddit siger, at hackere held misligholdt en MSP netværk og faldt GandCrab til 80 kunde arbejdsstationer. Der er også ubekræftede rygter hævder, at angriberne indsat den samme teknik til at inficere andre MSP'er, berører over 1,500 arbejdsstationer.
Som svar på disse nye angreb, ConnectWise udgivet en anden sikkerhedsadvarsel. I det, virksomheden opfordrer brugerne til at opdatere deres Kaseya plugin. Det skal bemærkes, at den sårbarhed ”kun påvirker ConnectWise brugere, der har Plugin installeret på deres lokale miljø VSA”, som skrevet i advarslen.
Ny Gandcrab 5 Stammer fordelt som Ransomware-as-a-service
“Vi indsendt en underretning / support artiklen til vores support helpdesk og straks begyndte at nå ud via telefon / e-mail til dem der er identificeret som var i risiko for påvirkning med opløsning,” sagde Taunia Kipp, VP for marketing og kommunikation i ConnectWise, i et interview.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: