Инструмент удаленного доступа Jamf может быть взломан с помощью одной строки кода

Более тысячи компаний и организаций по всему миру потратили последнюю неделю на расследование инцидентов, вызванных атакой операторов вымогательского ПО REvil на MSP-провайдера Kaseya. Эксперты предупреждают, что это может быть не разовое событие, а часть тревожной тенденции. Хакеры все чаще изучают весь класс инструментов, которые администраторы используют для удаленного управления IT-системами, видя в них потенциальные «отмычки», способные дать доступ к сетям жертвы.

На конференции по безопасности Black Hat в следующем месяце британские исследователи Люк Робертс (Luke Roberts) и Калум Холл (Calum Hall) планируют представить методы, позволяющие перехватить контроль над популярным инструментом Jamf для компьютеров под управлением macOS.

Как и в случае с Kaseya, Jamf используется администраторами предприятий для настройки и управления сотнями и тысячами компьютеров в IT-сетях. Разработка экспертов позволяет использовать инструмент удаленного управления для шпионажа, хищения файлов, получения доступа к другим устройствам и установки вредоносного ПО.

По словам исследователей, те же инструменты, которые позволяют администраторам легко управлять большими сетями, также могут дать хакерам аналогичные «сверхспособности». Методы Робертса и Холла требуют самостоятельного закрепления на необходимом компьютере. В случае успеха злоумышленники могут значительно расширить свой контроль над устройством и перейти к другим системам в сети. В одном случае исследователи просто изменили одну строку в файле конфигурации на ПК, на котором работает Jamf, и заставили его подключиться к их вредоносному серверу, а не к легитимному серверу организации. Внести это изменение, как они отмечают, можно так же просто, как выдать себя за IT-персонал и обманом заставить сотрудника изменить эту строку или открыть злонамеренно созданный файл конфигурации Jamf, отправленный в фишинговом письме. Метод не требует установки вредоносного ПО и позволяет дольше избегать обнаружения, чем в случае с обычным трояном для удаленного доступа.

Используя второй метод, два исследователя смогли замаскироваться под персональный компьютер с запущенным программным обеспечением Jamf, словно это на самом деле сервер. Атакующий маскируется под компьютер организации с запущенным Jamf, а затем обманывает сервер для получения учетных данных пользователя. Учетные данные, в свою очередь, предоставляют доступ через другие устройства компании.

Хотя исследователи сосредоточились на Jamf, он является далеко не единственным среди инструментов удаленного управления, используемым злоумышленниками в качестве потенциальной поверхности атаки, говорит бывший хакер АНБ Джейк Уильямс. Помимо Kaseya, такие инструменты, как ManageEngine, inTune, NetSarang, DameWare, TeamViewer, GoToMyPC и другие, представляют собой столь же привлекательные цели. Они распространены повсеместно, обычно не ограничены в своих привилегиях на целевом ПК, часто освобождены от антивирусного сканирования и упускаются из виду системными администраторами, а также могут устанавливать программы на большое количество устройств.

В последние годы хакеры неоднократно использовали инструменты удаленного управления, включая Kaseya, TeamViewer, GoToMyPC и DameWare, для целенаправленных атак. Это не потому, что все инструменты сами по себе имеют уязвимости, которые можно проэксплуатировать, а потому, что хакеры использовали их легитимные функции после получения доступа к сети жертвы.