Convertirse en un “eslabón” en un ataque de cadena de suministro es una experiencia desagradable para cualquier organización, pero lo es aun más para un proveedor de servicios gestionados (MSP), sobre todo si uno de sus servicios consiste en la gestión del sistema de seguridad. Y, no, aunque nos gustaría no estamos hablando de suposiciones, sino de casos reales.
De hecho, los ciberdelincuentes prestan especial atención a los MSP y tiene lógica, pues tienen acceso directo a la infraestructura de muchas otras empresas. Una vez dentro de la red del MSP, hay un sinfín de probabilidades de robo de datos o infección. Por ello, los cibercriminales examinan a fondo las herramientas de los proveedores de servicios gestionados y esperan hasta que una de ellas cometa un error. Hace un tiempo, una serie de ciberdelincuentes consiguieron lo que estaban buscando: instalar una carga de malware cifrador aprovechando una vulnerabilidad en el software de un MSP.
¿Qué tipo de vulnerabilidad?
La vulnerabilidad se encontraba en el complemento del ManagedITSync de ConnectWise para la integración cruzada entre la plataforma de automatización de servicios profesionales ConnectWise Manage y el sistema de gestión y supervisión en remoto Kaseya VSA.
Esta vulnerabilidad permite la modificación en remoto de la base de datos Kaseya VSA. Esta, a su vez, permite a los atacantes añadir nuevos usuarios con cualquier derecho de acceso y crear nuevas tareas, como cargar malware en todos los ordenadores de los clientes del MSP.
Lo curioso es que no se trata de una vulnerabilidad nueva, sino de una que se descubrió en el 2017. ConnectWise actualizó tan pronto como pudo su complemento y parecía haber neutralizado la amenaza. Pero, como es habitual, no todos los usuarios instalaron la actualización.
Detalles del incidente
Según el equipo de investigación de Huntress Labs, una serie de ciberdelincuentes sin identificar han utilizado la vulnerabilidad para atacar los ordenadores de los clientes de un MSP anónimo con un ransomware cifrador llamado GandCrab. Aprovechándose de que Kaseya había concedido derechos de administrador a todos los dispositivos de usuario final, los atacantes crearon una tarea para descargar y ejecutar el malware en los endpoint. Para más información sobre GandCrab, accede a esta publicación.
Se desconoce si este caso ha sido el único, pero al mismo tiempo, la CISA (Agencia de Seguridad de Infraestructuras y Ciberseguridad) de Estados Unidos publicó una advertencia sobre el aumento de la ciberactividad maliciosa china contra los MSP.
¿Qué se puede hacer?
En primer lugar, no te olvides de actualizar el software. Si buscas una solución para el problema de integración entre ConnectWise Manage y Kaseya VSA, comienza por actualizar la herramienta de integración.
Y no pienses que se trata de un incidente aislado. Es probable que los mismos atacantes o incluso otros estén buscando nuevas formas de llegar hasta los clientes de los MSP.
Por tanto, debes tomar la protección de tu propia infraestructura tan en serio como la de tus clientes. Si proporcionas servicios de seguridad, cuentas con todas las herramientas necesarias para proteger tus propios sistemas, sobre todo si ya está implementada la consola de gestión de soluciones de protección.
Puedes obtener más información sobre el programa para proveedores de servicios gestionados aquí.