Hackers têm usado uma de dois anos de idade vulnerabilidade em um pacote de software utilizado por empresas de suporte de TI remotos para ganhar uma posição em redes vulneráveis e implantar o ransomware GandCrab sobre as empresas’ estações de trabalho do cliente.
O infame ransomware GandCrab foi distribuído com a ajuda de uma falha de segurança de dois anos (CVE-2017-18362) em um pacote de software utilizado por empresas de segurança de TI remoto, pesquisadores de segurança dizem. A vulnerabilidade foi explorada para conceder acesso a redes vulneráveis e distribuir a carga ransomware. A vulnerabilidade em questão afeta o plug-in Kaseya para o software Connectwise Manage, que é um produto de automação de serviço profissional para suporte de TI.
CVE-2017-18362 no Kaseya Plugdin descoberto em 2017
Em novembro 2017, Alex Wilson, um pesquisador de segurança, descobriu uma vulnerabilidade de injeção de SQL conhecida como CVE-2017-18362 neste plug-in. A vulnerabilidade pode permitir que um invasor crie novas contas de administrador no aplicativo principal da Kaseya, ZDNet relatado. O pesquisador também publicou um código de prova de conceito no GitHub que poderia automatizar o ataque.
Aqui está o descrição oficial de CVE-2017-18362:
Integração ConnectWise ManagedITSync através de 2017 para Kaseya VSA é vulnerável a comandos remotos não autenticados que permitem acesso direto total ao banco de dados Kaseya VSA. Em fevereiro 2019, os invasores têm explorado ativamente isso à solta para baixar e executar cargas úteis de ransomware em todos os endpoints gerenciados pelo servidor VSA. Se a página ManagedIT.asmx estiver disponível por meio da interface da web do Kaseya VSA, qualquer pessoa com acesso à página pode executar consultas SQL arbitrárias, ler e escrever, sem autenticação.
Pelo visto, A Kaseya corrigiu a falha, mas parece que muitas empresas não conseguiram instalar o plugin atualizado, deixando suas redes vulneráveis a ataques.
Story relacionado: GandCrab vírus ransomware - como removê-lo
Os relatórios indicam que os ataques com base na falha CVE-2017-18362 começaram cerca de duas semanas atrás. Um relatório específico compartilhado no Reddit diz que os hackers violaram com sucesso a rede de um MSP e deixaram o GandCrab para 80 estações de trabalho do cliente. Também há rumores não confirmados de que os invasores implantaram a mesma técnica para infectar outros MSPs, afetando mais do que 1,500 estações de trabalho.
Em resposta a esses novos ataques, Connectwise lançou outro alerta de segurança. Iniciar, a empresa pede aos usuários que atualizem seu plugin Kaseya. Deve-se observar que a vulnerabilidade “afeta apenas os usuários do Connectwise que têm o plug-in instalado em seu VSA local”, Como escrito no alerta.
New Gandcrab 5 Cepas distribuído como ransomware-as-a-Service
“Publicamos uma notificação / artigo de suporte em nosso help desk de suporte e imediatamente começamos a entrar em contato por telefone / e-mail com aqueles identificados que estavam em risco de impacto com a resolução,” disse Taunia Kipp, VP de marketing e comunicações da Connectwise, em uma entrevista.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: