Les pirates informatiques ont utilisé une vulnérabilité de deux ans dans un logiciel utilisé par les entreprises à distance de support informatique pour prendre pied sur les réseaux vulnérables et déployer le ransomware de GandCrab sur les entreprises’ postes clients.
Le ransomware de GandCrab tristement célèbre a été distribué à l'aide d'une faille de sécurité, âgé de deux ans (CVE-2017-18362) dans un logiciel utilisé par les entreprises à distance de sécurité informatique, les chercheurs en sécurité disent. La vulnérabilité a été exploitée pour accorder l'accès aux réseaux vulnérables et distribuer la charge utile ransomware. La vulnérabilité en question affecte le plugin Kaseya pour le ConnectWise Gérer les logiciels, qui est un produit d'automatisation de services professionnels pour le support informatique.
CVE-2017-18362 en Kaseya Plugdin Découvert en 2017
En novembre 2017, Alex Wilson, un chercheur en sécurité, déterré une vulnérabilité d'injection SQL connue sous le nom CVE-2017-18362 dans ce plugin. Cette vulnérabilité pourrait permettre à un attaquant de créer de nouveaux comptes administrateur sur la principale application Kaseya, ZDNet signalé. Le chercheur a également publié une preuve de concept de code sur GitHub qui pourrait automatiser l'attaque.
Voici la Description officielle de CVE-2017-18362:
l'intégration ConnectWise ManagedITSync par 2017 pour Kaseya VSA est vulnérable aux commandes à distance non authentifiés qui permettent plein accès direct à la base de données VSA Kaseya. En Février 2019, les attaquants ont activement exploité ce dans la nature pour télécharger et exécuter des charges utiles ransomware sur tous les terminaux gérés par le serveur VSA. Si la page ManagedIT.asmx est disponible via l'interface Web Kaseya VSA, toute personne ayant accès à la page est en mesure d'exécuter des requêtes arbitraires SQL, lire et écrire, sans authentification.
Apparemment, Kaseya patché la faille, mais il semble que de nombreuses entreprises ont échoué à installer le plug-in mis à jour, laissant ainsi leurs réseaux vulnérables aux attaques.
histoire connexes: GandCrab Virus Ransomware - Comment faire pour supprimer ce
Les rapports indiquent que les attaques basées sur la faille CVE-2017-18362 a commencé il y a environ deux semaines. Un rapport particulier partagé sur Reddit dit que les pirates avec succès violé le réseau d'un MSP et a chuté à GandCrab 80 postes clients. Il y a aussi des rumeurs non confirmées prétendant que les attaquants déployés la même technique pour infecter d'autres projets de moyenne envergure, affectant plus de 1,500 postes de travail.
En réponse à ces nouvelles attaques, ConnectWise a publié une alerte de sécurité. Dans ce, l'entreprise invite les utilisateurs à mettre à jour leur plug-in Kaseya. Il convient de noter que la vulnérabilité « seulement nuire aux utilisateurs ConnectWise qui ont le plug-in installé sur leur sur site VSA », comme écrit dans l'alerte.
nouveau Gandcrab 5 Souches distribué en tant que Ransomware-as-a-Service
“Nous avons affiché un article de notification / soutien à notre bureau d'aide de soutien et immédiatement commencé à tendre la main par téléphone / courrier électronique à ceux identifiés qui étaient à risque d'impact avec la résolution,” ledit Taunia Kipp, Vice-président du marketing et des communications de ConnectWise, dans une interview.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: