Dodavatel softwaru Kaseya vydal aktualizaci zabezpečení, která opravuje chybu zabezpečení VSA (Virtual System Administrator) použitou při nedávném útoku ransomware REvil. Oprava přichází více než týden poté, co bylo více než 60 poskytovatelů spravovaných služeb (MSP) a 1500 jejich zákazníků zasaženo ransomwarem, jehož zdroj byl brzy identifikován jako Kaseya VSA. 
Útočníci, nyní známí jako notoricky známý gang REvil, použili zranitelnost v softwarovém balíčku pro vzdálené monitorování a správu VSA společnosti Kaseya k distribuci škodlivé datové části prostřednictvím hostitelů, kteří jsou spravováni softwarem. Konečným výsledkem bylo 60 MSP a více než 1500 společností postižených útoky ransomwaru.
Zranitelnosti VSA společnosti Kaseya objevili v dubnu vědci z Dutch Institute for Vulnerability Disclosure (DIVD). Podle DIVD odhalili zranitelnosti kaseya brzy poté, což umožnilo softwarové společnosti vydat opravy k vyřešení řady z nich dříve, než by mohly být zneužity. Bohužel, zatímco DIVD chválí Kaseyu za jejich včasnou reakci na zveřejnění, škodlivé strany byly schopny použít neopravované zranitelnosti ve svém útoku ransomware.
Chyby zabezpečení, které společnost DIVD odhalila společnosti Kaseya v dubnu, jsou následující:
- CVE-2021-30116 – Únik přihlašovacích údajů a chyba obchodní logiky, vyřešené v opravě 11. července.
- CVE-2021-30117 – Chyba zabezpečení v injektáži SQL, vyřešená v květnu 8.
- CVE-2021-30118 – Chyba zabezpečení vzdáleného spuštění kódu, vyřešená v opravě z 10. dubna. (v9.5.6)
- CVE-2021-30119 – Chyba zabezpečení skriptování mezi weby, vyřešená v opravě z 11. července.
- OBEJITÍ CVE-2021-30120 – 2FA, vyřešeno v opravě 11. července.
- CVE-2021-30121 – Chyba zabezpečení místního zahrnutí souborů, vyřešená v květnu 8.
- CVE-2021-30201 – Chyba zabezpečení externí entity XML, vyřešená v květnu 8.
Pokud se nepodařilo opravit 3 chyb zabezpečení včas, společnost REvil je mohla využít k rozsáhlému útoku, který měl dopad na 60 poskytovatelů spravovaných služeb využívajících VSA a jejich 1500 firemních zákazníků. Jakmile si Kaseya všimla, co se děje, varovala místní zákazníky VSA, aby okamžitě vypnuli své servery, dokud nevydá opravu. Bohužel, mnoho společností se stále stalo oběťmi ransomwarového útoku, jehož pachatelé požadovali výkupné až 5 milionů dolarů. REvilův gang později nabídl univerzální dešifrátor za 70 milionů dolarů, což je vůbec největší požadavek na výkupné.
Aktualizace VSA 9.5.7a (9.5.7.2994) opravuje chyby zabezpečení použité během útoku ransomwareM REvil
11. července kaseya vydala k VSA 9.5.7a (9.5.7.2994) patch opravě zbývajících zranitelností, které byly použity při útoku ransomwarem.
Aktualizace VSA 9.5.7a (9.5.7.2994) opravuje následující:
- Únik přihlašovacích údajů a chyba obchodní logiky: CVE-2021-30116
- Chyba zabezpečení skriptování mezi weby: CVE-2021-30119
- Obchvat 2FA: CVE-2021-30120
- Byl opraven problém, kdy se příznak zabezpečení neukažuje pro soubory cookie relace uživatelského portálu.
- Byl opraven problém, kdy některé odpovědi rozhraní API obsahovaly hodnotu hash hesla, což potenciálně vystavilo slabá hesla útoku hrubou silou. Hodnota hesla je nyní zcela maskována.
- Byla opravena chyba zabezpečení, která mohla umožnit neoprávněné odeslání souborů na server VSA.
Kaseya však varuje, že aby se zabránilo dalších problémům, je třeba dodržovat “ On Premises VSA Startup Readiness Guide “ .
Než správci přistoupí k obnovení plného připojení mezi servery Kaseya VSA a nasazenými agenty, měli by udělat následující:
- Ujistěte se, že je váš server VSA izolovaný.
- Zkontrolujte, zda systém nekontroluje ukazatele kompromisu (MOV).
- Opravte operační systémy serverů VSA.
- Použití přepsání adresy URL k řízení přístupu k VSA prostřednictvím služby IIS.
- Nainstalujte Agent FireEye.
- Odeberte čekající skripty/úlohy.
Zdá se, že REvilův gang ztmavl.
Ransomware gang REvil byl poměrně rychle identifikován jako pachatelé útoku. Poté, co původně nabídli univerzální dešifrování za 70 milionů dolarů, snížili cenu na 50 milionů dolarů. Nyní se zdá, že infrastruktura a webové stránky společnosti REvil byly odpojeny, i když důvody nejsou zcela jasné. Infrastruktura společnosti REvil se snoudí z jasných i tmavých webových stránek, které se používají pro účely, jako je únik dat a vyjednávání výkupného. Stránky však již nejsou dosažitelné.
Zatím není jasné, zda se REvil rozhodl ukončit svou infrastrukturu z technických důvodů, nebo kvůli zvýšené kontrole ze strany orgánů činných v trestním řízení a vlády USA. Je známo, že REvil operuje z Ruska a americký prezident Biden o útocích jedná s ruským prezidentem Putinem a varuje, že pokud Rusko nezasáví, usa tak ano. Zda to má něco společného se zjevným vypnutím REvila, zatím není jasné.