MSP’s als dreigingsvectoren

Aantoonbaar meer interesse van aanvallers in MSP’s, het uitbuiten van kwetsbaarheden om hun klanten te besmetten met cryptomalware.

Het worden van een “schakel” in een aanval op een toeleveringsketen is een onaangename ervaring voor welke organisatie dan ook, een twee keer zo onaangenaam voor een Managed Service Provider (MSP). Vooral als systeemveiligheidsmanagement een van de services is. En toch is deze situatie niet zo speculatief als we zouden willen.

Eigenlijk besteden de boosdoeners in het algemeen veel aandacht aan MSP’s. Deze hebben immers directe toegang tot de infrastructuur van een boel andere bedrijven. Eenmaal veilig binnen een MSP-netwerk, dan heb je onbeperkte mogelijkheden voor datadiefstal of infectie. Dit is de reden waarom cybercriminelen MSP-toolkits grondig onderzoeken en azen op fouten. Een tijdje terugkregen enkele van deze cybercriminelen de beloning die ze wilden: Ongeautoriseerde aanvallers profiteerden van een kwetsbaarheid in MSP-software om een lading cryptomalware te installeren.

Wat voor soort kwetsbaarheid?

De kwetsbaarheid die huisvest in de plug-in ManagedITSync van ConnectWise voor kruisintegratie tussen het automatiseringsplatform van de professionele service ConnectWise Manage en het monitorings- en managementsysteem Kaseya VSA.

De kwetsbaarheid staat modificaties op afstand toe van de Kaseya VSA database. Hierdoor kunnen aanvallers nieuwe gebruikers toevoegen met alle mogelijke rechten om te doen wat ze maar willen, zoals het uploaden van malware op de computers van alle MSP clients.

Dit is geen nieuwe kwetsbaarheid. Dit werd ontdekt in 2017. ConnectWise voerde een update in van de plug-in en de kwetsbaarheid leek verholpen. Maar zoals gewoonlijk, niet alle gebruikers installeerden de update.

Details van het incident

Volgens het onderzoeksteam van Huntress Labs, werd deze kwetsbaarheid door anonieme hackers gebruikt om computers van een ongenoemde MSP-client aan te vallen met geëncrypteerde ransomware genaamd GandCrab. Profiterend van het feit dat Kaseya administratorrechten had voor alle end-user apparaten, creëerden de aanvallers een taak om maleware te downloaden en te runnen op endpoints. Het gevaar van GrandCrab wordt in deze post besproken.

Het is niet bekend of dit het enige geval was of dat er meerdere waren, maar rond dezelfde periode deed de US Cybersecurity and Infrastructure Security Agency (CISA) een waarschuwing over het opkomen van Chinese kwaadaardige cyberactiviteit met als doelwit MSP’s.

Wat moet er gebeuren?

Ten eerste, vergeet je software niet up te daten. Mocht je op zoek zijn naar een oplossing voor specifieke integratieproblemen tussen ConnectWise Manage en Kaseya VSA, begin dan met het updaten van de integratietool.

Vertrouw er niet op dat dit een opzichzelfstaand geval is. Hoogstwaarschijnlijk zijn er ook andere aanvallers die op zoek zijn naar manieren om in MSP-clients binnen te dringen.

Dat betekent dat de bescherming van jouw eigen infrastructuur erg serieus genomen moet worden, op zijn minst zo serieus als die van jouw klanten. Als je veiligheidsservices biedt, dan heb je alle tools om de veiligheid van je eigen systeem te waarborgen, vooral als je de management console voor beschermingsoplossingen al hebt ingezet.

Je kunt meer lezen over wat Kaspersky Lab te bieden heeft voor MSP’s.

Tips