Softwareleverandør Kaseya har udgivet en sikkerhedsopdatering, der programrettelser VSA (Virtual System Administrator) zero-day sårbarhed, der anvendes i den seneste REvil ransomware angreb. Plasteret kommer mere end en uge efter, at over 60 administrerede tjenesteudbydere (MSP) og 1500 af deres kunder blev påvirket af et ransomware-angreb, hvis kilde snart blev identificeret som Kaseyas VSA.
Angribere, der nu er kendt for at være den berygtede REvil-bande, brugte en sårbarhed i Kaseyas VSA-softwarepakke til fjernovervågning og -styring til at distribuere en ondsindet nyttelast gennem værter, der administreres af softwaren. Slutresultatet var 60 MSP’er og over 1500 virksomheder, der er berørt af ransomware-angreb.
Sårbarhederne i Kaseya’s VSA blev opdaget i april af forskere på Dutch Institute for Vulnerability Disclosure (DIVD). Ifølge DIVD afslørede de sårbarhederne til Kaseya kort efter, så softwarefirmaet kunne frigive patches for at løse en række af dem, før de kunne misbruges. Desværre, mens DIVD roser Kaseya for deres on-point og rettidig reaktion på afsløringen, ondsindede parter var i stand til at bruge de unpatched sårbarheder i deres ransomware angreb.
De sårbarheder, som DIVD afslørede for Kaseya i april, er følgende:
- CVE-2021-30116 – En legitimationslækage og forretningslogikfejl, løst i juli 11 patch.
- CVE-2021-30117 – En sårbarhed i forbindelse med SQL-injektion, der blev løst i den 8. maj.
- CVE-2021-30118 – En sårbarhed i forbindelse med fjernudførelse af kode, der blev løst i den 10. april. (afsnit 9.5.6)
- CVE-2021-30119 – En sårbarhed i forbindelse med scripting på tværs af websteder, der blev løst i den 11. juli.
- CVE-2021-30120 – 2FA bypass, løst i juli 11 patch.
- CVE-2021-30121 – En sårbarhed i forbindelse med lokal filintegration, der blev løst i den 8. maj.
- CVE-2021-30201 – En sårbarhed i forbindelse med ekstern XML-enhed, der blev løst i den 8. maj.
Undlader at lappe 3 af sårbarhederne til tiden tilladt REvil at udnytte dem til et storstilet angreb, der påvirkede 60 administrerede tjenesteudbydere ved hjælp af VSA og deres 1500 erhvervskunder. Så snart Kaseya bemærkede, hvad der foregik, advarede det lokale VSA-kunder om straks at lukke deres servere, indtil det udgav en patch. Desværre blev mange virksomheder stadig ofre for et ransomware-angreb, hvis gerningsmænd krævede op til $ 5 millioner i løsesum. REvil-banden tilbød senere en universel decryptor for 70 millioner dollars, den største krav om løsepenge nogensinde.
Vsa 9.5.7a (9.5.7.2994) opdateringen løser sårbarheder, der bruges under REvil ransomware-angrebet
Den 11. juli frigav Kaseya VSA 9.5.7a (9.5.7.2994) patch for at løse de resterende sårbarheder, der blev brugt i ransomware-angrebet.
Opdateringen til VSA 9.5.7a (9.5.7.2994) indeholder følgende programrettelser:
- Legitimationslækage og forretningslogikfejl: CVE-2021-30116
- Sårbarhed i forbindelse med scripting på tværs af websteder: CVE-2021-30119
- 2FA bypass: CVE-2021-30120
- Løste et problem, hvor det sikre flag ikke blev brugt til cookies i User Portal-sessionen.
- Rettede en fejl, hvor visse API-svar ville indeholde en adgangskode-hash, hvilket potentielt udsatte eventuelle svage adgangskoder for brute force-angreb. Adgangskodeværdien er nu maskeret fuldstændigt.
- Rettede en sårbarhed, der kunne tillade uautoriseret overførsel af filer til VSA-serveren.
Kaseya advarer dog om, at for at undgå flere problemer bør ” On Premises VSA Startup Readiness Guide ” følges.
Før administratorer fortsætter med at gendanne den fulde forbindelse mellem Kaseya VSA-servere og installerede agenter, skal de gøre følgende:
- Kontroller, at VSA-serveren er isoleret.
- Kontroller, om der er kompromisindikatorer (IOC).
- Programrettelse af OPERATIVSYSTEMERNE på VSA-serverne.
- Brug af URL-omskrivning til at styre adgangen til VSA via IIS.
- Installer FireEye Agent.
- Fjern ventende scripts/job.
REvil banden synes at være gået mørke
REvil ransomware-banden blev temmelig hurtigt identificeret som gerningsmændene bag angrebet. Efter først at have tilbudt en universel decryptor for $ 70 millioner, sænkede de prisen til $ 50 millioner. Det ser nu ud til, at REvils infrastruktur og websteder er blevet taget offline, selvom årsagerne ikke er helt klare. REvil’s infrastruktur består af både klare og mørke websteder, der bruges til formål som lækage af data og forhandling af løsesummen. Webstederne er dog ikke længere tilgængelige.
Det er endnu ikke klart, om REvil besluttet at lukke sin infrastruktur på grund af tekniske årsager eller på grund af den øgede kontrol af retshåndhævelse og den amerikanske regering. REvil er kendt for at operere fra Rusland, og USA’s præsident Biden har været i forhandlinger med Ruslands præsident Putin om angrebene og advaret om, at hvis Rusland ikke griber ind, vil USA gøre det. Om det har noget at gøre med REvil’s tilsyneladende nedlukning er endnu ikke klart.