Hacker hat eine zwei Jahre alte Sicherheitslücke in einem Software-Paket von Remote-IT-Support-Unternehmen verwendet Fuß zu fassen auf gefährdete Netzwerke zu gewinnen und die GandCrab Ransomware auf den Unternehmen bereitstellen’ Kunden Arbeitsplätze.
Die berüchtigte GandCrab Ransomware hat mit Hilfe einer zwei Jahre alten Sicherheitslücke verteilt worden (CVE-2017-18362) in einer Paket-Software von Remote-IT-Sicherheitsunternehmen verwendet, Sicherheitsforscher sagen. Die Sicherheitslücke wurde Zugang zu schutzbedürftigen Netzen zu gewähren ausgebeutet und die Ransomware Nutzlast verteilen. Die Sicherheitslücke in Frage wirkt sich auf die Kaseya-Plugin für die ConnectWise Software verwalten, das ist ein professionelles Service-Automatisierung Produkt für IT-Support.
CVE-2017-18362 in Kaseya Plugdin Entdeckt 2017
Im November 2017, Alex Wilson, ein Sicherheitsforscher, eine SQL-Injection-Schwachstelle ausgegraben als CVE-2017-18362 bekannt in diesem Plugin. Die Sicherheitsanfälligkeit kann ein Angreifer in ein neues Administrator erstellen Konten auf dem Haupt Kaseya App, ZDNet berichtet. Die Forscher veröffentlichten auch Proof-of-Concept-Code auf GitHub, dass der Angriff automatisieren könnte.
Hier ist die offizielle Beschreibung von CVE-2017-18362:
ConnectWise ManagedITSync Integration durch 2017 für Kaseya VSA ist anfällig für nicht authentifizierten Remote-Befehle, die voll direkten Zugriff auf die Kaseya VSA-Datenbank erlauben. Im Februar 2019, Angreifer haben dies in der freien Natur herunterzuladen und auszuführen Ransomware Nutzlasten auf allen Endpunkten verwaltet von der VSA-Server aktiv ausgenutzt. Wenn die ManagedIT.asmx Seite ist über die Kaseya VSA Web-Interface verfügbar, jeder, der Zugriff auf die Seite ist in der Lage, beliebige SQL-Abfragen ausführen, Lesen und Schreiben, ohne Authentifizierung.
Offenbar, Kaseya gepatcht den Fehler, aber es scheint, dass viele Unternehmen es versäumt, die aktualisierte Plugin installieren, so verlassen ihre Netzwerke anfällig für Angriffe.
ähnliche Geschichte: GandCrab Ransomware Virus - wie man es entfernen
Berichte zeigen, dass auf den CVE-2.017-18.362 Fehlern basierten Angriffe etwa zwei Wochen begannen vor. Ein besonderer Bericht über Reddit geteilt sagt, dass Hacker erfolgreich eine MSP-Netzwerk durchbrochen und fiel GandCrab zu 80 Kunden Arbeitsplätze. Darüber hinaus gibt es unbestätigte Gerüchte behaupten, dass Angreifer die gleiche Technik zum Einsatz anderer MSPs zu infizieren, Auswirkungen auf mehr als 1,500 Arbeitsplätze.
Als Reaktion auf diese neue Angriffe, ConnectWise veröffentlicht eine weitere Sicherheitswarnung. Drin, Das Unternehmen fordert die Benutzer ihre Kaseya-Plugin zu aktualisieren. Es sei darauf hingewiesen, dass die Verwundbarkeit „nur Auswirkungen ConnectWise Benutzer, die das Plugin auf ihrem lokalen VSA installiert haben“, als in der Warnung geschrieben.
New Gandcrab 5 Die Stämme verteilt Ransomware-as-a-Service
“Wir verzeichnen eine Benachrichtigung / Support-Artikel auf unseren Support Help Desk und fingen sofort an zu denen, per Telefon / E-Mail-Annäherung identifiziert, die mit einer Auflösung von einem Risiko von Auswirkungen waren,” sagte Taunia Kipp, VP für Marketing und Kommunikation von ConnectWise, in einem Interview.