I förra veckan ‘ s globe-spänner ransomware utbrott kan ha börjat med en anmärkningsvärt enkel attack. Denna morgon, oberoende säkerhetspolitisk analytiker Jonathan Nichols upptäckte en alarmerande sårbarhet i uppdateringen servrar för ukrainska mjukvaruföretag MeDoc, ett av de företag i mitten av attack.
Forskare tror att många av de första Petya infektioner var resultatet av en förgiftad uppdatering från MeDoc, som skickas ut malware förklädd som en uppdatering av programvaran. Men enligt Nichols’ forskning, skicka ut som förgiftade uppdatering kan ha varit en relativt enkel uppgift, tack vare underliggande svagheter i företagets säkerhet.
“Det är mycket möjligt att någon kunde ha gjort det”
Skanna företagets infrastruktur, Nichols fann att MeDoc centrala uppdatera servrarna kör gamla FTP-program med en enastående sårbarhet som är lätt utnyttjas av allmänt tillgänglig programvara. Det är ett allvarligt säkerhetsproblem, och kunde ha låtit nästan vem som helst sprida förgiftad uppdateringar genom systemet. Det är oklart om det är särskilt utsatta användes av Petya anfallare — eller om det var utnyttjas på alla — men att det finns en sådan föråldrad programvara visar att det kan ha varit flera olika sätt i systemet.
“Det är mycket möjligt att någon kunde ha gjort det,” Nichols sagt, även om han erkände att han inte hade försökt att utnyttja säkerhetsproblemet för rädsla för att begå ett brott. “Man skulle ha för att hacka servern för att vara 100 procent säker.”