Essere il \u201ccollegamento\u201d in un attacco alla supply chain costituisce un\u2019esperienza spiacevole per qualsiasi azienda, e lo \u00e8 ancor di pi\u00f9 se questo collegamento sono gli MSP (Managed Service Provider). E se uno dei servizi offerti riguarda la gestione dei sistemi di sicurezza\u2026 Purtroppo, non stiamo parlando di casi ipotetici (ci piacerebbe molto fosse cos\u00ec) ma di situazioni reali.<\/p>\n
Di fatto, i cybercriminali stanno rivolgendo la loro attenzione proprio agli MSP. \u00c8 facile capire il perch\u00e9: gli MSP hanno accesso diretto alle infrastrutture di tante aziende e, dopo essere entrati nella rete degli MSP senza dare nell\u2019occhio, i cybercriminali hanno opportunit\u00e0 illimitate per rubare dati o infettare altre reti. Per questo motivo, i cybercriminali analizzano attentamente I toolkit degli MSP alla ricerca di un errore di cui poter approfittare. Un po\u2019 di tempo fa, hanno ottenuto proprio ci\u00f2 che volevano: dei cybercriminali non ben identificati hanno sfruttato la vulnerabilit\u00e0 del software di un MSP per installare un payload cryptomalware<\/a>.<\/p>\n La vulnerabilit\u00e0 risiedeva nel plug-in ManagedITSync di ConnectWise, che serve per l\u2019integrazione incrociata tra la piattaforma di automazione di servizi professionali ConnectWise Manage e il sistema di gestione e monitoraggio in remoto Kaseya VSA.<\/p>\n La vulnerabilit\u00e0 consente la modificazione in remoto del database di Kaseya VSA e, a loro volta, i cybercriminali potevano aggiungere nuovi utenti con qualsiasi tipo di autorizzazione d\u2019accesso e creare qualsiasi task, come caricare un malware su tutti i computer dei clienti del MSP.<\/p>\n Non si tratta di una vulnerabilit\u00e0 recente, anzi, \u00e8 stata scoperta nel 2017. ConnectWise ai tempi ha aggiornato immediatamente il plug-in e sembrava aver neutralizzato la minaccia; tuttavia, come spesso accade, non tutti gli utenti hanno installato l\u2019aggiornamento.<\/p>\n Secondo il team di ricerca<\/a> di Huntress Labs, la vulnerabilit\u00e0 \u00e8 stata sfruttata da hacker non identificati per colpire i computer dei clienti di un MSP anonimo mediante il ransomware GandCrab, che cifra i dati. Approfittando del fatto che Kaseya aveva l\u2019accesso da amministratore di tutti i dispositivi degli utenti finali, i cybercriminali hanno creato una task per scaricare e diffondere il malware sugli endpoint. In questo post<\/a> abbiamo descritto i vari danni che GandCrab pu\u00f2 provocare.<\/p>\n Non ci sono informazioni aggiuntive per capire se si tratta dell\u2019unico caso; tuttavia, pi\u00f9 o meno allo stesso tempo, la Cybersecurity and Infrastructure Security Agency (CISA) statunitense ha pubblicato un avviso<\/a> riguardante l\u2019aumento di attivit\u00e0 dannosa da parte di cybercriminali cinesi che colpisce gli MSP.<\/p>\n Innanzitutto, non dimenticate di aggiornare il vostro software. Se siete alla ricerca di una soluzione per questo problema di integrazione in particolare tra ConnectWise Manage e Kaseya VSA, vi consigliamo di aggiornare prima di tutto il tool di integrazione<\/a>.<\/p>\n Non cullatevi sul fatto che si tratti di un caso isolato; probabilmente non \u00e8 cos\u00ec, e gli stessi cybercriminali dell\u2019incidente in questione (o altri) staranno gi\u00e0 cercando altri modi per arrivare ai clienti degli MSP.<\/p>\n Per questo, la protezione dell\u2019infrastruttura MSP deve essere presa con la dovuta seriet\u00e0, come avviene per l\u2019infrastruttura dei clienti. Se offrite servizi di sicurezza, avete tutti gli strumenti a disposizione per proteggere i vostri sistemi, soprattutto se impiegate gi\u00e0 una console per la gestione delle soluzioni di protezione.<\/p>\nDi quale vulnerabilit\u00e0 stiamo parlando?<\/h2>\n
I dettagli dell\u2019incidente<\/h2>\n
Cosa fare?<\/h2>\n