Convertirse en un \u201ceslab\u00f3n\u201d en un ataque de cadena de suministro es una experiencia desagradable para cualquier organizaci\u00f3n, pero lo es a\u00fan m\u00e1s para un proveedor de servicios gestionados (MSP), sobre todo si uno de sus servicios consiste en la gesti\u00f3n del sistema de seguridad. Y, no, aunque nos gustar\u00eda no estamos hablando de suposiciones, sino de casos reales.<\/p>\n
De hecho, los malhechores prestan especial atenci\u00f3n a los MSP. Y tiene sentido, pues \u00e9stos \u00faltimos tienen acceso directo a la infraestructura de muchas otras empresas. Una vez dentro de la red del MSP, hay infinitas probabilidades de robo de datos o infecci\u00f3n. Por ello, los cibercriminales examinan a fondo las herramientas de los proveedores de servicios gestionados y esperan hasta que una de ellas cometa un error. Hace un tiempo, una serie de cibercriminales consiguieron lo que estaban buscando: instalar una carga de malware<\/em> cifrador aprovechando una vulnerabilidad en el software<\/em> de un MSP<\/a>.<\/p>\n \u00bfQu\u00e9 tipo de vulnerabilidad?<\/strong><\/p>\n La vulnerabilidad se encontraba en el complemento del ManagedITSync de ConnectWise para la integraci\u00f3n cruzada entre la plataforma de automatizaci\u00f3n de servicios profesionales ConnectWise Manage y el sistema de gesti\u00f3n y supervisi\u00f3n remotas Kaseya VSA.<\/p>\n Esta vulnerabilidad permite la modificaci\u00f3n remota de la base de datos Kaseya VSA. Esta, a su vez, permite a los atacantes a\u00f1adir nuevos usuarios con cualquier derecho de acceso y crear nuevas tareas, como cargar malware<\/em> en todos los ordenadores de los clientes del MSP.<\/p>\n No se trata de una vulnerabilidad nueva; se descubri\u00f3 en el 2017. ConnectWise actualiz\u00f3 tan pronto como pudo su plug-in<\/em> y parec\u00eda haber neutralizado la amenaza. Pero, como es habitual, no todos los usuarios instalaron la actualizaci\u00f3n.<\/p>\n Detalles del incidente<\/strong><\/p>\n Seg\u00fan el equipo de investigaci\u00f3n<\/a> de Huntress Labs, una serie de cibercriminales no identificados han utilizado la vulnerabilidad para atacar los ordenadores de los clientes de un MSP an\u00f3nimo con un ransomware<\/em> cifrador llamado GandCrab. Aprovech\u00e1ndose de que Kaseya hab\u00eda concedido derechos de administrador a todos los dispositivos de usuario final, los atacantes crearon una tarea para descargar y ejecutar el malware<\/em> en los endpoint<\/em>. Para m\u00e1s informaci\u00f3n sobre el peligro que supone GandCrab, accede a esta publicaci\u00f3n<\/a>.<\/p>\n Se desconoce si este caso ha sido el \u00fanico, pero al mismo tiempo, la CISA (Agencia de seguridad de infraestructuras y ciberseguridad) de Estados Unidos public\u00f3 una advertencia<\/a> sobre el aumento de la ciberactividad maliciosa proveniente de China contra los MSP.<\/p>\n \u00bfQu\u00e9 se puede hacer? <\/strong><\/p>\n En primer lugar, no te olvides de actualizar el software<\/em>. Si buscas una soluci\u00f3n para el problema de integraci\u00f3n entre ConnectWise Manage y Kaseya VSA, comienza por actualizar la herramienta de integraci\u00f3n<\/a>.<\/p>\n Y no pienses que se trata de un incidente aislado. Es probable que los mismos atacantes o incluso otros est\u00e9n buscando nuevas formas de llegar hasta los clientes de los MSP.<\/p>\n Por tanto, debes tomar la protecci\u00f3n de tu propia infraestructura tan enserio como la de tus clientes. Si proporcionas servicios de seguridad, cuentas con todas las herramientas necesarias para proteger tus propios sistemas, sobre todo si ya est\u00e1 implementada la consola de gesti\u00f3n de soluciones de protecci\u00f3n.<\/p>\n