Hackers hebben een twee jaar oude kwetsbaarheid in een software pakket wordt gebruikt door externe IT-ondersteuning bedrijven gebruikt om een voet aan de grond op kwetsbare netwerken te krijgen en implementeren van de GandCrab ransomware op die bedrijven’ klant werkstations.
De beruchte GandCrab ransomware is verspreid met behulp van een twee-jaar-oude veiligheidslek (CVE-2017-18.362) in een software pakket wordt gebruikt door externe IT-beveiliging bedrijven, security onderzoekers zeggen. De kwetsbaarheid werd misbruikt om toegang tot kwetsbare netwerken te verlenen en distribueren van de ransomware payload. De kwetsbaarheid in kwestie van invloed op de Kaseya-plugin voor de ConnectWise Manage software, dat is een professionele service automation product voor IT-ondersteuning.
CVE-2017-18.362 in Kaseya Plugdin Ontdekt in 2017
In november 2017, Alex Wilson, een security-onderzoeker, opgegraven een SQL injection kwetsbaarheid zogenaamde CVE-2017-18362 deze plugin. De kwetsbaarheid kan een aanvaller om nieuwe beheerder te maken accounts op de belangrijkste Kaseya app, ZDNet gerapporteerd. De onderzoeker publiceerde ook proof-of-concept code op GitHub dat de aanval zou kunnen automatiseren.
Hier is het officiële beschrijving CVE-2017-18362:
ConnectWise ManagedITSync integratie door 2017 voor Kaseya VSA kwetsbaar voor geverifieerde externe commando's die volledige toegang tot de Kaseya VSA gegevensbank mogelijk. In februari 2019, aanvallers hebben actief uitgebuit dit in het wild te ransomware payloads op alle eindpunten worden beheerd door de VSA-server te downloaden en uit te voeren. Als de ManagedIT.asmx pagina is beschikbaar via de Kaseya VSA webinterface, iedereen met toegang tot de pagina is in staat om willekeurige SQL-query's, zowel lezen en schrijven, zonder verificatie.
Blijkbaar, Kaseya gepatched de fout, maar het lijkt erop dat veel bedrijven niet in geslaagd om de bijgewerkte plug-in installeren, dus hun netwerken verlaten kwetsbaar voor aanvallen.
Verwante Story: GandCrab Ransomware Virus - Hoe het te verwijderen
Rapporten geven aan dat aanvallen op basis van de CVE-2017-18.362 fout begon ongeveer twee weken geleden. Een bijzonder verslag gedeeld op Reddit zegt dat hackers met succes het netwerk van een MSP's geschonden en liet GandCrab aan 80 klant werkstations. Er zijn ook onbevestigde geruchten beweren dat aanvallers ingezet dezelfde techniek aan andere MSP's te infecteren, die meer dan 1,500 werkstations.
In reactie op deze nieuwe aanvallen, ConnectWise heeft weer een beveiligingswaarschuwing. In het, het bedrijf spoort gebruikers hun Kaseya plugin te actualiseren. Opgemerkt dient te worden dat de kwetsbaarheid “alleen van invloed ConnectWise gebruikers die de plug-in op hun lokale VSA geïnstalleerde”, als geschreven in de waarschuwing.
nieuwe Gandcrab 5 Stammen verdeeld als Ransomware-as-a-Service
“We postte een bericht / support artikel om onze support helpdesk en begon onmiddellijk bereiken via telefoon / e-mail aan degenen geïdentificeerd die het risico lopen van de botsing met een resolutie waren,” waarbij Taunia Kipp, VP van marketing en communicatie van ConnectWise, in een interview.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: