Dostawcy usług zarządzanych jako wektor ataku

Żadna organizacja nie chce zostać „ogniwem” w ataku na łańcuch dostaw, a szczególnie dotyczy to dostawców usług zarządzanych, którzy oferują zarządzanie systemami bezpieczeństwa. Niestety sytuacje takie nie są teoretyczne i zdarzają się naprawdę.

Żadna organizacja nie chce zostać „ogniwem” w ataku na łańcuch dostaw, a szczególnie dotyczy to dostawców usług zarządzanych (ang. Managed Service Provider, MSP), którzy oferują zarządzanie systemami bezpieczeństwa. Niestety sytuacje takie nie są teoretyczne i zdarzają się naprawdę.

Zainteresowanie hakerów krąży wokół dostawców usług zarządzanych, gdyż posiadają oni bezpośredni dostęp do infrastruktur wielu innych firm. Po przedostaniu się do ich sieci mają nieograniczone możliwości kradzieży danych lub infekcji. Dlatego cyberprzestępcy dokładnie analizują zestawy narzędzi używane przez MSP pod kątem błędów. Niedawno im się to udało: niezidentyfikowani atakujący wykorzystali lukę w oprogramowaniu używanym przez MSP do zainstalowania szkodliwego oprogramowania szyfrującego.

Jaka to była luka?

Luka ta znajdowała się we wtyczce programu ConnectWise ManagedITSync służącej do zapewniania wzajemnej integracji między platformą do automatyzacji profesjonalnych usług ConnectWise Manage a monitoringiem zdalnym i systemem do zarządzani marki Kaseya VSA.

Luka ta umożliwiała zdalną modyfikację bazy należącej do Kaseya VSA, dzięki czemu atakujący mogli dodawać nowych użytkowników posiadających dowolne uprawnienia dostępowe i tworzyć dowolne zadanie — na przykład umieścić szkodliwy program na wszystkich komputerach klientów danego dostawcy usług zarządzanych.

Luka ta nie jest nowa; została odkryta w 2017 roku. Firma ConnectWise niezwłocznie zaktualizowała swoją wtyczkę i wydawało się, że zagrożenie zostało zneutralizowane. Jednak jak zwykle nie wszyscy użytkownicy zainstalowali tę aktualizację.

Na czym polegał incydent?

Jak poinformował zespół badaczy z firmy Huntress Labs, luka została użyta przez niezidentyfikowanych hakerów do ataku na jeden z komputerów klientów MSP przy użyciu szyfrującego programu ransomware o nazwie GandCrab. Wykorzystując fakt, że oprogramowanie Kaseya posiada uprawnienia administratora na wszystkich urządzeniach punktów końcowych, atakujący utworzyli zadanie pobrania i uruchomienia szkodliwego programu na punktach końcowych. Więcej informacji na temat programu GandCrab umieściliśmy w tym poście.

Nie wiadomo, czy był to odosobniony przypadek, jednak organizacja US Cybersecurity and Infrastructure Security Agency (CISA) wydała ostrzeżenie w związku ze wzrostem szkodliwej cyberaktywności chińskich hakerów atakujących MSP.

Jak zapewnić sobie bezpieczeństwo?

Po pierwsze, nie zapominaj instalować aktualizacji oprogramowania. Jeśli poszukujesz rozwiązania na konkretny problem z integracją między ConnectWise Manage a Kaseya VSA, zacznij od zaktualizowania narzędzia integracji.

Nie wierz w to, że był to odosobniony incydent. Bardziej prawdopodobne jest, że hakerzy już poszukują innych sposobów ataku na komputery należące do klientów dostawców usług zarządzanych.

Dlatego ochrona Twojej infrastruktury musi być traktowana tak samo poważnie jak infrastruktura Twoich klientów. Jeśli świadczysz usługi związane z zapewnianiem bezpieczeństwa, w pierwszej kolejności zadbaj o własne systemy.

Poznaj ofertę dla dostawców usług zarządzanych od firmy Kaspersky Lab.

Porady