گسترش باج‌افزار GandCrab با استفاده از یک آسیب‌پذیری در نرم‌افزار مدیریت از راه دور ConnectWise

براساس گزارش‌های منتشر شده، هکر‌ها از یک آسیب‌پذیری در افزونه Kaseya که برای نرم‌افزار مدیریت از راه دور ConnectWise استفاده می‌شود، برای گسترش باج‌افزار GandCrab، آلوده کردن ایستگاه‌های کاری و مشتریان شرکت‌های فناوری استفاده کرده‌اند. گفته می‌شود این آسیب‌پذیری بیش از دو سال پیش شناسایی و اصلاح شده است، اما به دلیل عدم به‌روزرسانی افزونه، کاربران این نرم‌افزار با مشکلات امنیتی مواجه شده‌اند.

براساس گزارش‌های منتشر شده، هکرها با بهره‌برداری از یک آسیب‌پذیری موجود در افزونه Kaseya که برای نرم‌افزار نرم‌افزار مدیریت از راه دور ConnectWise استفاده می‌شود، توانسته‌اند باج‌افزار GandCrab را در ایستگاه‌های کاری متصل به این نرم‌افزار گسترش دهند. 

نرم‌افزار مدیریتی ConnectWise، یک محصول تنظیم کننده خودکار خدمات است که توسط شرکت‌های پشتیبان در حوزه فناوری مورد استفاده قرار می‌گیرد و افزونه Kaseya به شرکت‌ها اجازه می‌دهد که امکان نظارت و مدیریت از راه دور را به بخش مدیریتی نرم‌افزار ConnectWise اضافه کنند.

اما برپایه اطلاعات موجود، در نوامبر سال ۲۰۱۷، یک محقق امنیتی با نام الکس ویلسون، یک آسیب‌پذیری تزریق به پایگاه داده «SQL injection» را در افزونه Kaseya شناسایی کرده است که به مهاجمان اجازه می‌دهد تا یک حساب مدیریتی جدید در برنامه اصلی Kaseya ایجاد کنند. 

هرچند در آن زمان شرکت Kaseya اصلاحیه‌ای برای رفع این نقص امنیتی منتشر کرد، اما بنابر شواهد جدید، به نظر می‌رسد که بسیاری از شرکت‌ها در نصب به‌روزرسانی افزونه Kaseya در داشبورد‌های ConnectWise خود موفق نبوده و شبکه‌های خود را در معرض خطر قرار داده‌اند.

براساس گزارش‌های منتشر شده، حملات انجام شده با بهره برداری از این آسیب‌پذیری، از اواخر ماه ژانویه سال جاری آغاز شده است و در همین فاصله زمانی، هکر‌ها توانسته‌اند به یک شبکه مدیریتی ConnectWise نفوذ کرده و باج‌افزار GandCrab را در ایستگاه‌های کاری ۸۰ کاربر گسترش دهند.

همچنین در یک توییت منتشر شده که اکنون حذف شده است، ادعا شده که هکر‌ها از همین روش حمله برای آلوده کردن دیگر شبکه‌های مدیریتی ها نیز استفاده کرده و بیش از ۱۵۰۰ ایستگاه کاری را با اخلال مواجه کرده‌اند.

علاوه براین، براساس گزارش‌های موجود، ۱۲۶ شرکت در حال حاضر از نسخه آسیب‌پذیر این افزونه استفاده می‌کنند که ایستگاه‌های کاری بسیاری را در معرض خطر آلودگی به باج‌افزار GandCrab قرار داده‌اند.

شرکت ConnectWise نیز در پاسخ به افزایش شمار گزارش‌های مربوط به حملات این باج‌افزار، یک هشدار امنیتی منتشر کرده و به کاربران خود توصیه کرده است که افزونه Kaseya خود را در اسرع وقت به‌روزرسانی کنند.

 

 

توضیحات بیشتر در:

GandCrab ransomware gang infects customers of remote IT support firms