MSPs als Bedrohungsvektor

Angreifer zeigen aktives Interesse an MSPs und nutzen Schwachstellen aus, um Kunden mit Kryptomalware zu infizieren.

In einem Supply-Chain-Angriff zum Verbindungsglied zu werden, ist für jedes Unternehmen eine unangenehme Erfahrung – für Managed Services Provider (MSP) ist diese Situation jedoch besonders unerfreulich. Insbesondere dann, wenn die Verwaltung von Sicherheitssystemen zu den Dienstleistungen der Anbieter gehört. Und doch ist das Ganze Szenario nicht so spekulativ, wie wir es uns wünschen würden.

In der Tat schenken Cyberkriminelle MSPs besonders viel Aufmerksamkeit, denn sie sind diejenigen, die direkten Zugang zur Infrastruktur vieler anderer Unternehmen haben. Wenn sie sich erst einmal sicher in ein MSP-Netzwerk eingeschleust haben, stehen Ihnen unbegrenzte Möglichkeiten zum Diebstahl von Daten oder der Infektion des Geräts zur Verfügung. Aus diesem Grund nehmen Cyberkriminelle die Toolkits der MSPs ganz genau unter die Lupe und warten geduldig darauf, dass einer der Anbieter einen Fehler macht. Vor einiger Zeit bekam eine Gruppe Cyberkrimineller genau das, was sie wollten: Angreifer nutzten die Softwareschwachstelle eines MSPs, um Kryptomalware-Nutzlast auf den Geräten der Kunden zu installieren. 

Um welche Schwachstelle handelte es sich?

Die Schwachstelle residierte im ManagedITSync-Plug-In von ConnectWise für die Cross-Integration zwischen der Automatisierungsplattform für professionelle Dienstleistungen ConnectWise Manage und dem System zur Fernüberwachung und -verwaltung Kaseya VSA.

Die Sicherheitslücke ermöglicht das Fernändern der Kaseya-VSA-Datenbank. Auf diese Weise können Angreifer neue Benutzer mit beliebigen Zugriffsrechten hinzufügen und Aufgaben erstellen – dazu zählt beispielsweise auch der Upload von Malware auf alle MSP-Kundenrechner.

Hierbei handelt es sich jedoch keinesfalls um eine neue Schwachstelle; ursprünglich wurde die Sicherheitslücke bereits im Jahr 2017 entdeckt. Durch die Aktualisierung seines Plug-Ins, konnte ConnectWise die Bedrohung damals neutralisieren. Wie so oft haben jedoch nicht alle Benutzer das Update installiert.

Details zum Vorfall

Dem Forschungsteam von Huntress Labs zufolge wurde die Sicherheitslücke von unbekannten Hackern genutzt, um die Computer eines nicht benannten MSP-Kunden mit der Verschlüsselungs-Ransomware GandCrab anzugreifen. Die Angreifer nutzten die Tatsache, dass Kaseya über den Administratorzugriff auf alle Endbenutzergeräte verfügte zu ihrem Vorteil, und erstellten eine Aufgabe, um die Malware auf den jeweiligen Endpoints herunterzuladen und auszuführen. Über die Gefahren von GandCrab haben wir bereits in diesem Beitrag berichtet.

Es gibt keine weitere Informationen darüber, ob es sich hierbei um einen singulären Vorfall handelte; auffällig ist jedoch, dass zur ungefähr gleichen Zeit von der US-amerikanische Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) vor dem Anstieg bösartiger Cyberaktivität chinesischer Akteure, die MSPs im Visier haben, gewarnt wurde.

Wie können Sie sich schützen?

An erster Stelle steht immer die gewissenhafte Aktualisierung Ihrer Software. Wenn Sie auf der Suche nach einer Lösung für das spezifische Integrationsproblem zwischen ConnectWise Manage und Kaseya VSA sind, sollten Sie zunächst das Integrationstool aktualisieren.

Vertrauen Sie bitte nicht darauf, dass es sich hierbei um einen isolierten Einzelfall handelt. Denn vermutlich sind (dieselben) Angreifer bereits auf der Suche nach Möglichkeiten, an weitere MSP-Kunden zu gelangen.

Aus diesem Grund sollte der Schutz Ihrer eigenen und der Infrastruktur Ihrer Kunden gleichermaßen ernst genommen werden. Wenn Sie Sicherheitsdienste anbieten, sollten Sie bereits über alle notwendigen Tools zum Schutz Ihrer eigenen Systeme verfügen.

Welche Services Kaspersky Lab für MSPs zur Verfügung stellt, erfahren Sie hier.

Tipps