Afgelopen week is de bol-overspant ransomware uitbraak kan zijn begonnen met een opvallend eenvoudige aanval. Deze ochtend, onafhankelijke security analist Jonathan Nichols ontdekt een alarmerend kwetsbaarheid in de update-servers voor oekraïense software bedrijf MeDoc, een van de bedrijven in het centrum van de aanval.
Onderzoekers zijn van mening dat veel van de eerste Petya infecties waren het resultaat van een vergiftigde update van MeDoc, die uitgezonden malware vermomd als een software-update. Maar volgens Nichols’ onderzoek uit te sturen die vergiftigd update kan zijn van een relatief eenvoudige taak, dankzij de onderliggende zwakheden van het bedrijf beveiliging.
“Het is heel goed mogelijk dat iemand zou kunnen hebben gedaan”
Het scannen van de infrastructuur van het bedrijf, Nichols gevonden dat MeDoc de centrale update-servers actief was verouderd FTP-software met een uitstekende beveiligingslek dat wordt gemakkelijk uitgebuit worden door het publiek beschikbare software. Het is een ernstig beveiligingsprobleem, en kunnen bijna iedereen verspreid vergiftigd updates via het systeem. Het is onduidelijk of die specifieke kwetsbaarheid werd gebruikt door de Petya aanvallers — of als het misbruikt op alle, maar de aanwezigheid van zulke verouderde software geeft aan dat er sprake kan zijn geweest op verschillende manieren in het systeem.
“Het is heel goed mogelijk dat iemand zou kunnen hebben gedaan,” zei Nichols, hoewel hij erkende dat hij het niet had geprobeerd om het uitbuiten van de kwetsbaarheid voor angst van het plegen van een misdrijf. “Je zou het hacken van de server voor 100 procent van overtuigd.”