Tornar-se um “link” em um ataque de Supply Chain é uma experiência desagradável para qualquer empresa – e ainda pior para provedores de serviços gerenciados (MSP). Sobretudo, se um dos serviços prestados for a gestão dos sistemas de segurança. Infelizmente, não estamos fazendo suposições, e sim de casos reais.
Na verdade, os malfeitores prestam atenção aos MSPs. E, claro que tem uma lógica: os MSPs possuem acesso direto à infraestrutura de muitas outras empresas, aumentando a probabilidade de roubo de dados ou infecção. Já dentro do sistema, os cibercriminosos têm oportunidades ilimitadas, ao examinarem profundamente as ferramentas dos provedores de serviços gerenciados e ficarem à espera de oportunidades para explorar os erros. Há pouco tempo, algumas dessas pessoas mal-intencionadas conseguiram o que queriam: instalaram cryptomalwares aproveitando uma vulnerabilidade de software de um MSP.
Qual tipo de vulnerabilidade?
A vulnerabilidade se encontrava no plug-in ManagedITSync do ConnectWise para integração mútua entre a plataforma de automação dos serviços profissionais ConnectWise Manage e o sistema de gestão e monitoramento remoto Kaseya VSA.
A vulnerabilidade permite modificação remota da base de dados do Kaseya VSA. Isso, por outro lado, permite ao atacante adicionar novos usuários com quaisquer direitos de acesso e criar novas tarefas – bem como fazer uploading de malwares em todos os computadores do cliente de MSP.
O mais curioso é que não se trata de uma vulnerabilidade nova, ela é conhecida desde 2017. Logo que descoberta, o ConnectWise atualizou o plug-in e pareceu ter neutralizado a ameaça. Mas, como sempre, nem todos os usuários instalaram a atualização.
Detalhes do incidente
De acordo com a equipe responsável pela pesquisa Huntress Lab, a vulnerabilidade foi usada por hackers não identificados para atacar clientes de MSPs por meio de um ransomware chamado GandCrab. Valendo-se do fato de que o Kaseya possuía acesso de administrador para todos os dispositivos de usuários finais, os atacantes criaram uma tarefa de baixar e executar o malware em endpoints.
Não há informação que alegue se o caso foi o único, mas ao mesmo tempo, a Cybersecurity and Infrastructure Security Agency (CISA) emitiu um alerta sobre a ascensão de ciberatividade de hackers chineses com foco em MSPs.
O que deve ser feito?
Primeiro, não esqueça de atualizar seus softwares. Se você está procurando uma solução para um problema de integração específico entre o ConnectWise Manage e o Kaseya VSA, comece por atualizar a ferramenta de integração.
Não confie que isso é um incidente isolado. Apesar de pouco provável, pode acontecer do mesmo ou de outros ataques buscarem formas de atingir clientes de MSPs.
Portanto, sua própria proteção de infraestrutura tem de ser levada tão a sério, quanto a de seus clientes. Se seu negócio é fornecer serviços de segurança, conta com todas as ferramentas necessárias para proteger seus sistemas, especialmente, se já tem a solução de proteção implementada no console de gerenciamento.
Obtenha mais informações sobre as ofertas para MSPs da Kaspersky Lab.