Hackers infecteren workstations via twee jaar oude kwetsbaarheid

Hackers weten succesvol een twee jaar oude kwetsbaarheid in een softwarepakket van IT-ondersteuningsbedrijven te gebruiken om een voet binnen netwerken te krijgen. Op die manier kunnen de hackers de GandCrab-ransomware plaatsen op de workstations van de klanten van die IT-ondersteuners.

Uit een bericht op Reddit, dat later bevestigd werd door cybersecurityfirma Huntress Labs, blijkt dat op zijn minst één bedrijf ook daadwerkelijk besmet is. De kwetsbaarheid die hackers misbruiken heeft gevolgen voor de Kaseya-plugin van de ConnectWise Manage software. Dat is een professional services automation (PSA) product dat sommige IT-ondersteuningsbedrijven gebruiken bij hun activiteiten.

De Kaseya-plugin

De Kaseya-plugin maakt het voor bedrijven mogelijk data van de plugin door te zetten naar een ConnectWise-dashboard. Vooral kleine IT-bedrijven en andere managed service providers (MSP’s) gebruiken de twee apps om data van hun klanten te centraliseren. Op die manier kunnen ze workstations vanaf een andere locatie beheren.

In november 2017 ontdekte een veiligheidsonderzoeker met de naam Alex Wilson echter een SQL-injectie kwetsbaarheid (CVE-2017-18362) in de plugin die aanvallers ertoe in staat stelt een nieuw admin-account aan te maken in de hoofdapp van Kaseya. Hij publiceerde vervolgens proof-of-concept code op GitHub die de aanval kon automatiseren.

Patch installeren

Kaseya bracht indertijd een update uit met een patch voor de problemen. Maar nu blijkt dat die lang niet altijd daadwerkelijk geïnstalleerd is. Er zijn nog heel wat bedrijven die de Kaseya-plugin niet geïnstalleerd hebben, waardoor hun netwerken blootgesteld zijn aan onnodige risico’s. Aanvallers begonnen twee weken geleden met het uitbuiten van de kwetsbaarheid.

In januari verscheen op Reddit een eerste bericht waarin een incident omschreven wordt rond een MSP waarbij hackers dat netwerk infecteerden en vervolgens GandCrab-ransomware op 80 workstations van klanten plaatsten. Eenzelfde aanval zou uitgevoerd zijn op andere MSP’s, waarbij in totaal meer dan 1.500 workstations geïnfecteerd zouden zijn, al is dat niet bevestigd.

ConnectWise heeft nu in reactie hierop een security alert vrijgegeven waarin het klanten adviseert de Kaseya-plugin van een update te voorzien.