Gli hacker hanno utilizzato una vulnerabilità di due anni in un pacchetto software utilizzato dalle imprese di supporto IT a distanza per ottenere un punto d'appoggio su reti vulnerabili e distribuire il ransomware GandCrab su quelle aziende’ postazioni di lavoro dei clienti.
Il ransomware GandCrab infame è stato distribuito con l'aiuto di due anni falla di sicurezza (CVE-2.017-18.362) in un pacchetto software utilizzato dalle società di sicurezza IT a distanza, ricercatori di sicurezza dicono. La vulnerabilità è stata sfruttata per concedere l'accesso alle reti più vulnerabili e distribuire il carico utile ransomware. La vulnerabilità in questione interessa il plugin Kaseya per il software ConnectWise Gestisci, che è un prodotto professionale di automazione dei servizi per il supporto IT.
CVE-2.017-18.362 in Kaseya Plugdin Scoperto nel 2017
A novembre 2017, Alex Wilson, un ricercatore di sicurezza, portato alla luce una vulnerabilità SQL injection noto come CVE-2.017-18.362 in questo plugin. La vulnerabilità potrebbe consentire a un utente malintenzionato di creare nuovi account amministratore sulla principale Kaseya app, ZDNet segnalati. Il ricercatore ha anche pubblicato proof-of-concept codice su GitHub che potrebbe automatizzare l'attacco.
Ecco il descrizione ufficiale di CVE-2.017-18.362:
Integrazione ConnectWise ManagedITSync attraverso 2017 per Kaseya VSA è vulnerabile ai comandi remoti non autenticati che consentono l'accesso diretto al database completo Kaseya VSA. Nel mese di febbraio 2019, gli aggressori hanno attivamente sfruttato questa in natura di scaricare ed eseguire carichi utili ransomware su tutti gli endpoint gestiti dal server VSA. Se la pagina ManagedIT.asmx è disponibile tramite l'interfaccia web Kaseya VSA, chiunque abbia accesso alla pagina è in grado di eseguire query SQL arbitrarie, in lettura e scrittura, senza autenticazione.
Apparentemente, Kaseya patch la falla, ma sembra che molte aziende non è riuscito a installare il plugin aggiornato, lasciando così le loro reti vulnerabili agli attacchi.
Story correlati: GandCrab ransomware Virus - come rimuoverlo
I rapporti indicano che gli attacchi basati sul CVE-2.017-18.362 difetto iniziato circa due settimane fa. Un particolare rapporto condiviso su Reddit dice che gli hacker hanno violato con successo rete di un MSP ed è sceso a GandCrab 80 postazioni di lavoro dei clienti. Ci sono anche voci non confermate affermano che gli aggressori schierato la stessa tecnica per infettare altri MSP, che colpisce più di 1,500 postazioni di lavoro.
In risposta a questi nuovi attacchi, ConnectWise rilasciato un altro avviso di sicurezza. Dentro, l'azienda invita gli utenti ad aggiornare il suo plugin Kaseya. Va notato che la vulnerabilità “solo impatti utenti ConnectWise che hai il plugin installato sul proprio on-premise VSA”, come scritto nel allerta.
Nuovo Gandcrab 5 I ceppi distribuiti come ransomware-as-a-Service
“Abbiamo inviato una notifica / articolo di supporto al nostro supporto help desk e subito iniziato a raggiungere via telefono / e-mail a quelli identificati che erano a rischio di impatto con risoluzione,” detto Taunia Kipp, VP del marketing e comunicazione di ConnectWise, in un'intervista.