Der Softwarehersteller Kaseya hat ein Sicherheitsupdate veröffentlicht, das die Zero-Day-Schwachstelle VSA (Virtual System Administrator) behebt, die beim jüngsten REvil-Ransomware-Angriff verwendet wurde. Der Patch kommt mehr als eine Woche, nachdem über 60 Managed Service Provider (MSP) und 1500 ihrer Kunden von einem Ransomware-Angriff betroffen waren, dessen Quelle bald als Kaseyas VSA identifiziert wurde. 
Angreifer, die jetzt als die berüchtigte REvil-Bande bekannt sind, nutzten eine Schwachstelle in Kaseyas VSA-Fernüberwachungs- und Verwaltungssoftwarepaket, um eine bösartige Nutzlast über Hosts zu verteilen, die von der Software verwaltet werden. Das Endergebnis waren 60 MSPs und über 1500 Unternehmen, die von Ransomware-Angriffen betroffen waren.
Die Schwachstellen in Kaseyas VSA wurden im April von Forschern des Dutch Institute for Vulnerability Disclosure (DIVD) entdeckt. Laut DIVD gaben sie die Schwachstellen kurz darauf an Kaseya weiter, so dass das Softwareunternehmen Patches veröffentlichen konnte, um eine Reihe von ihnen zu beheben, bevor sie missbraucht werden konnten. Während DIVD Kaseya für ihre pünktliche und rechtzeitige Reaktion auf die Offenlegung lobt, konnten böswillige Parteien die ungepatchten Schwachstellen in ihrem Ransomware-Angriff nutzen.
Die Schwachstellen, die Kaseya von DIVD im April offenbart wurden, sind die folgenden:
- CVE-2021-30116 – Ein Anmeldeinformationsleck und ein Fehler in der Geschäftslogik, der im Patch vom 11. Juli behoben wurde.
- CVE-2021-30117 – Eine Sicherheitsanfälligkeit in SQL-Injection, die im Patch vom 8. Mai behoben wurde.
- CVE-2021-30118 – Eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung, die im Patch vom 10. April behoben wurde. (v9.5.6)
- CVE-2021-30119 – Eine Sicherheitsanfälligkeit in Cross Site Scripting, die im Patch vom 11. Juli behoben wurde.
- CVE-2021-30120 – 2FA-Bypass, behoben im Patch vom 11. Juli.
- CVE-2021-30121 – Eine Sicherheitsanfälligkeit durch lokale Dateieinbindung, die im Patch vom 8. Mai behoben wurde.
- CVE-2021-30201 – Eine Sicherheitsanfälligkeit in XML external Entity, die im Patch vom 8. Mai behoben wurde.
Das Versäumnis, 3 der Schwachstellen rechtzeitig zu patchen, ermöglichte es REvil, sie für einen groß angelegten Angriff zu nutzen, der 60 Managed Service Provider mit VSA und ihre 1500 Geschäftskunden bezichtigte. Sobald Kaseya bemerkte, was vor sich ging, warnte es lokale VSA-Kunden, ihre Server sofort herunterzufahren, bis ein Patch veröffentlicht wurde. Leider wurden viele Unternehmen immer noch Opfer eines Ransomware-Angriffs, dessen Täter bis zu 5 Millionen US$Dollar Lösegeld forderten. Die REvil-Bande bot später einen universellen Entschlüsseler für 70 Millionen Dollar an, die größte Lösegeldforderung aller Zeiten.
Das VSA 9.5.7a (9.5.7.2994) Update behebt Schwachstellen, die während des REvil Ransomware-Angriffs verwendet wurden
Am 11. Juli veröffentlichte Kaseya die, VSA 9.5.7a (9.5.7.2994) patch um die verbleibenden Schwachstellen zu beheben, die bei dem Ransomware-Angriff verwendet wurden.
Das VSA 9.5.7a-Update (9.5.7.2994) patcht Folgendes:
- Anmeldeinformationsleck und Fehler in der Geschäftslogik: CVE-2021-30116
- Sicherheitsanfälligkeit durch Cross-Site Scripting: CVE-2021-30119
- 2FA Umgehung: CVE-2021-30120
- Es wurde ein Problem behoben, bei dem das sichere Flag nicht für Sitzungscookies im Benutzerportal verwendet wurde.
- Es wurde ein Problem behoben, bei dem bestimmte API-Antworten einen Kennworthash enthielten, wodurch schwache Kennwörter möglicherweise Brute-Force-Angriffen ausgesetzt wurden. Der Passwortwert ist nun vollständig maskiert.
- Es wurde eine Sicherheitslücke behoben, die das unbefugte Hochladen von Dateien auf den VSA-Server ermöglichen konnte.
Kaseya warnt jedoch davor, dass das ” ” befolgt werden sollte, um weitere Probleme zu On Premises VSA Startup Readiness Guide vermeiden.
Bevor Administratoren mit der Wiederherstellung der vollständigen Konnektivität zwischen Kaseya VSA-Servern und ausgefahrenen Agenten fortfahren, sollten sie die folgenden Schritte ausführen:
- Stellen Sie sicher, dass Ihr VSA-Server isoliert ist.
- Überprüfen Sie das System auf Kompromittierungsindikatoren (IOC).
- Patchen Sie die Betriebssysteme der VSA-Server.
- Verwenden von URL Rewrite zum Steuern des Zugriffs auf VSA über IIS.
- Installieren Sie FireEye Agent.
- Entfernen Sie ausstehende Skripts/Aufträge.
Die REvil-Bande scheint dunkel geworden zu sein
Die REvil-Ransomware-Bande wurde ziemlich schnell als die Täter hinter dem Angriff identifiziert. Nachdem sie zunächst einen universellen Entschlüsseler für 70 Millionen US$Dollar angeboten haben, senkten sie den Preis auf 50 Millionen US$Dollar. Es scheint nun, dass die Infrastruktur und die Websites von REvil offline genommen wurden, obwohl die Gründe nicht ganz klar sind. Die Infrastruktur von REvil besteht sowohl aus klaren als auch aus dunklen Websites, die für Zwecke wie das Durchsickern von Daten und das Aushandeln des Lösegelds verwendet werden. Die Seiten sind jedoch nicht mehr erreichbar.
Es ist noch nicht klar, ob REvil beschlossen hat, seine Infrastruktur aus technischen Gründen oder wegen der verstärkten Kontrolle durch die Strafverfolgungsbehörden und die US-Regierung zu schließen. Es ist bekannt, dass REvil von Russland aus operiert, und US-Präsident Biden hat gespräche mit Russlands Präsident Putin über die Angriffe geführt und davor gewarnt, dass die USA handeln werden, wenn Russland keine Maßnahmen ergreift. Ob das etwas mit der scheinbaren Abschaltung von REvil zu tun hat, ist noch nicht klar.