黑客在遠(yuǎn)程IT支持公司使用的軟件包中使用了一個(gè)兩年前的漏洞，以便在易受攻擊的網(wǎng)絡(luò)上獲得立足點(diǎn)，并在這些公司的客戶工作站上部署GandCrab勒索軟件。

據(jù)網(wǎng)絡(luò)安全公司Huntress Labs證實(shí)，Reddit的一份報(bào)告顯示，至少有一家公司已經(jīng)受到打擊。

黑客使用的漏洞影響了ConnectWise Manage軟件的Kaseya插件，ConnectWise Manage軟件是IT支持公司使用的專業(yè)服務(wù)自動(dòng)化(PSA)產(chǎn)品。

Kaseya VSA插件允許公司將來(lái)自Kaseya VSA遠(yuǎn)程監(jiān)控和管理解決方案的數(shù)據(jù)鏈接到ConnectWise儀表板。

許多小型IT公司和其他類型的托管服務(wù)提供商(MSP)使用這兩個(gè)應(yīng)用程序來(lái)集中來(lái)自客戶端的數(shù)據(jù)，并從遠(yuǎn)程中心位置管理客戶工作站。

2017年11月，一位名叫Alex Wilson的安全研究人員在此插件中發(fā)現(xiàn)了一個(gè)SQL注入漏洞(CVE-2017-18362)，該漏洞可能允許攻擊者在主Kaseya應(yīng)用上創(chuàng)建新的管理員帳戶。他還在GitHub上發(fā)布了可以自動(dòng)化攻擊的概念驗(yàn)證代碼。

Kaseya當(dāng)時(shí)發(fā)布了補(bǔ)丁，但是，基于新的證據(jù)，似乎許多公司未能在他們的ConnectWise儀表板上安裝更新的Kaseya插件，從而使他們的網(wǎng)絡(luò)暴露無(wú)遺。

攻擊利用這個(gè)漏洞開始兩個(gè)星期前，圍繞2019年一月底一份報(bào)告張貼在Reddit上介紹了在MSP其中黑客攻破一個(gè)中型的網(wǎng)絡(luò)，然后部署GandCrab勒索80個(gè)客戶工作站的事件。

ZDNet無(wú)法驗(yàn)證的現(xiàn)已刪除的推文聲稱黑客使用相同的攻擊例程來(lái)感染其他MSP，鎖定了超過1,500個(gè)工作站。

ConnectWise發(fā)布了一個(gè)安全警報(bào)，以響應(yīng)圍繞這些勒索軟件攻擊的越來(lái)越多的報(bào)告，建議用戶更新他們的ConnectWise Manage Kaseya插件。該公司表示，只有“在其內(nèi)部[Kaseya] VSA上安裝插件的公司”才會(huì)受到影響。

Kaseya營(yíng)銷和傳播執(zhí)行副總裁Taunia Kipp 在接受MSSP Alert(一家專注于MSP行業(yè)的科技新聞網(wǎng)站)采訪時(shí)表示，他們已經(jīng)確定了126家未能更新該插件但仍面臨風(fēng)險(xiǎn)的公司。

“我們向支持服務(wù)臺(tái)發(fā)布了一條通知/支持文章，并立即開始通過電話/電子郵件與那些有可能對(duì)決議產(chǎn)生影響的人進(jìn)行聯(lián)系，”她說。

Huntress Lab的研究人員表示，他們對(duì)涉及80個(gè)受GandCrab感染的客戶工作站的事件有“第一手資料”，對(duì)仍在使用Kaseya插件過期版本的公司提出了一些建議。

您應(yīng)該做的第一件事是立即斷開您的VSA服務(wù)器與互聯(lián)網(wǎng)的連接，直到您確定它尚未被感染。雖然我們本周看到的攻擊立即部署了勒索軟件，但其他攻擊者完全有可能知道這個(gè)漏洞并且可能已經(jīng)在您的系統(tǒng)中占有一席之地。斷開VSA服務(wù)器將至少阻止它在您調(diào)查時(shí)部署勒索軟件。

接下來(lái)，您應(yīng)該徹底審核您的VSA服務(wù)器和任何其他關(guān)鍵基礎(chǔ)架構(gòu)的可疑/惡意立足點(diǎn)，可疑帳戶等。我們知道這可能是一個(gè)單調(diào)冗長(zhǎng)的過程，但希望您了解與此級(jí)別的攻擊者訪問相關(guān)的風(fēng)險(xiǎn)。

最后，在將VSA服務(wù)器重新連接到Internet之前，刪除ManagedITSync集成并將其替換為最新版本。