براساس گزارشهای منتشر شده، هکرها با بهرهبرداری از یک آسیبپذیری موجود در افزونه Kaseya که برای نرمافزار نرمافزار مدیریت از راه دور ConnectWise استفاده میشود، توانستهاند باجافزار GandCrab را در ایستگاههای کاری متصل به این نرمافزار گسترش دهند.
نرمافزار مدیریتی ConnectWise، یک محصول تنظیم کننده خودکار خدمات است که توسط شرکتهای پشتیبان در حوزه فناوری مورد استفاده قرار میگیرد و افزونه Kaseya به شرکتها اجازه میدهد که امکان نظارت و مدیریت از راه دور را به بخش مدیریتی نرمافزار ConnectWise اضافه کنند.
اما برپایه اطلاعات موجود، در نوامبر سال ۲۰۱۷، یک محقق امنیتی با نام الکس ویلسون، یک آسیبپذیری تزریق به پایگاه داده «SQL injection» را در افزونه Kaseya شناسایی کرده است که به مهاجمان اجازه میدهد تا یک حساب مدیریتی جدید در برنامه اصلی Kaseya ایجاد کنند.
هرچند در آن زمان شرکت Kaseya اصلاحیهای برای رفع این نقص امنیتی منتشر کرد، اما بنابر شواهد جدید، به نظر میرسد که بسیاری از شرکتها در نصب بهروزرسانی افزونه Kaseya در داشبوردهای ConnectWise خود موفق نبوده و شبکههای خود را در معرض خطر قرار دادهاند.
براساس گزارشهای منتشر شده، حملات انجام شده با بهره برداری از این آسیبپذیری، از اواخر ماه ژانویه سال جاری آغاز شده است و در همین فاصله زمانی، هکرها توانستهاند به یک شبکه مدیریتی ConnectWise نفوذ کرده و باجافزار GandCrab را در ایستگاههای کاری ۸۰ کاربر گسترش دهند.
همچنین در یک توییت منتشر شده که اکنون حذف شده است، ادعا شده که هکرها از همین روش حمله برای آلوده کردن دیگر شبکههای مدیریتی ها نیز استفاده کرده و بیش از ۱۵۰۰ ایستگاه کاری را با اخلال مواجه کردهاند.
علاوه براین، براساس گزارشهای موجود، ۱۲۶ شرکت در حال حاضر از نسخه آسیبپذیر این افزونه استفاده میکنند که ایستگاههای کاری بسیاری را در معرض خطر آلودگی به باجافزار GandCrab قرار دادهاند.
شرکت ConnectWise نیز در پاسخ به افزایش شمار گزارشهای مربوط به حملات این باجافزار، یک هشدار امنیتی منتشر کرده و به کاربران خود توصیه کرده است که افزونه Kaseya خود را در اسرع وقت بهروزرسانی کنند.
توضیحات بیشتر در:
- GandCrab ransomware gang infects customers of remote IT support firms