MSP-провайдер как вектор заражения

Злоумышленники проявляют активный интерес к MSP-провайдерам и используют уязвимости, чтобы заразить клиентов шифровальщиками.

Никому не хотелось бы стать причиной заражения клиентов.

Стать «звеном» в атаке через цепочку поставок — ситуация неприятная для любой организации. Для компании, предоставляющей MSP-услуги, это вдвойне неприятно. Особенно если среди оказываемых услуг есть и управление системами безопасности. А между тем эта ситуация вовсе не настолько гипотетическая, как хотелось бы.

Злоумышленники вообще уделяют MSP-провайдерам пристальное внимание. Посудите сами: у этих компаний есть прямой доступ в инфраструктуру множества других фирм. Если получится каким-то образом пробраться в сеть MSP, это откроет безграничные возможности для кражи данных или заражения. Поэтому киберпреступность тщательно изучает MSP-инструменты и ждет, пока кто-нибудь не допустит ошибку. Некоторое время назад дождались — через уязвимость в софте MSP-компании неизвестные рассылали трояна-шифровальщика.

Что за уязвимость?

Уязвимость была в плагине ConnectWise ManagedITSync, который служит для взаимной интеграции между платформой автоматизации ConnectWise Manage и системой удаленного мониторинга и управления Kaseya VSA.

Уязвимость позволяет удаленно вносить изменения в базу данных Kaseya VSA. В результате злоумышленники могут добавлять пользователей с любыми правами доступа и ставить любые задачи. Например, по загрузке вредоносного ПО на все компьютеры клиентов MSP-провайдера.

Строго говоря, уязвимость эта не нова. Она была найдена еще в 2017 году. После чего ConnectWise успешно обновил плагин и, казалось бы, ликвидировал угрозу. Но, как обычно, обновились далеко не все.

Детали инцидента

По данным исследователей из Huntress Labs, уязвимость была использована неизвестными для атаки на компьютеры клиентов неназванного MSP-провайдера при помощи шифровальщика-вымогателя GandCrab. То есть, пользуясь тем, что Kaseya имеет доступ ко всем конечным устройствам с правами администратора, злоумышленники создали задачу, которая скачивала вредонос на компьютеры и запускала его. О том, чем опасен «Краб», можно прочитать вот в этом блогпосте.

Неизвестно, единственный ли это случай или нет. Однако примерно в это же время агентство Cybersecurity and Infrastructure Security Agency (CISA) выпустило предупреждение об активности китайских киберпреступников, которые активно интересуются MSP-провайдерами.

Что делать?

Для начала — не забывать обновлять программное обеспечение. Если вас интересует решение конкретной проблемы с интеграцией между ConnectWise Manage и Kaseya VSA, то, по всей видимости, вам лучше обновить инструмент интеграции.

Однако не следует считать, что это единичный случай. Вполне возможно, что те же или другие злоумышленники уже ищут новые лазейки, чтобы добраться до клиентов MSP-провайдеров.

Так что к защите собственной инфраструктуры следует относиться не менее серьезно, чем к инфраструктуре клиентов. Если вы предоставляете сервисы по обеспечению безопасности, то у вас есть все необходимые инструменты для того, чтобы обезопасить и свои системы. Тем более, что консоль управления защитными решениями у вас наверняка уже развернута.

Вот что MSP-провайдерам может предложить «Лаборатория Касперского».

Советы