El proveedor de software Kaseya ha publicado una actualización de seguridad que corrige la vulnerabilidad de día cero VSA (Administrador de sistemas virtuales) utilizada en el reciente ataque de ransomware REvil. El parche se produce más de una semana después de que más de 60 proveedores de servicios gestionados (MSP) y 1500 de sus clientes se vieron afectados por un ataque de ransomware, cuya fuente pronto se identificó como vsa de Kaseya. 
Los atacantes, ahora conocidos por ser la famosa pandilla REvil, usaron una vulnerabilidad en el paquete de software de administración y monitoreo remoto VSA de Kaseya para distribuir una carga maliciosa a través de hosts administrados por el software. El resultado final fue 60 MSP y más de 1500 empresas afectadas por ataques de ransomware.
Las vulnerabilidades en vsa de Kaseya fueron descubiertos en abril por los investigadores de la Dutch Institute for Vulnerability Disclosure (DIVD). Según DIVD, revelaron las vulnerabilidades a Kaseya poco después, lo que permite a la compañía de software lanzar parches para resolver una serie de ellos antes de que puedan ser mal utilizados. Desafortunadamente, mientras que DIVD elogia a Kaseya por su respuesta puntual y oportuna a la divulgación, las partes maliciosas pudieron usar las vulnerabilidades sin parches en su ataque de ransomware.
Las vulnerabilidades reveladas a Kaseya por DIVD en abril son las siguientes:
- CVE-2021-30116 – Una fuga de credenciales y un defecto de lógica de negocios, resuelto en julio 11 parche.
- CVE-2021-30117 – Una vulnerabilidad de inyección SQL, resuelta en el parche del 8 de mayo.
- CVE-2021-30118 – Una vulnerabilidad de ejecución remota de código, resuelta en el parche del 10 de abril. (v9.5.6)
- CVE-2021-30119 – Una vulnerabilidad de secuencias de comandos entre sitios, resuelta en julio 11 parche.
- CVE-2021-30120 – 2FA bypass, resuelto en julio 11 parche.
- CVE-2021-30121 – Una vulnerabilidad de inclusión de archivos locales, resuelta en el parche del 8 de mayo.
- CVE-2021-30201 – Una vulnerabilidad de entidad externa XML, resuelta en el parche del 8 de mayo.
No parchear 3 de las vulnerabilidades a tiempo permitió a REvil utilizarlas para un ataque a gran escala que afectó a 60 proveedores de servicios administrados que usan VSA y sus 1500 clientes comerciales. Tan pronto como Kaseya notó lo que estaba sucediendo, advirtió a los clientes de VSA en las instalaciones que apagaran inmediatamente sus servidores hasta que lanzara un parche. Desafortunadamente, muchas empresas todavía se convirtieron en víctimas de un ataque de ransomware cuyos perpetradores exigieron hasta $ 5 millones en rescate. La banda REvil más tarde ofreció un descifrador universal para $70 millones, la mayor demanda de rescate nunca.
La actualización VSA 9.5.7a (9.5.7.2994) corrige vulnerabilidades utilizadas durante el ataque de ransomware REvil
El 11 de julio, Kaseya lanzó el VSA 9.5.7a (9.5.7.2994) patch para corregir las vulnerabilidades restantes que se utilizaron en el ataque de ransomware.
La actualización VSA 9.5.7a (9.5.7.2994) corrige lo siguiente:
- Pérdida de credenciales y error de lógica de negocios: CVE-2021-30116
- Vulnerabilidad de secuencias de comandos entre sitios (CVE-2021-30119)
- Omisión de 2FA: CVE-2021-30120
- Se ha corregido un problema por el que el indicador seguro no se utilizaba para las cookies de sesión del Portal de usuario.
- Se ha corregido un problema en el que ciertas respuestas de la API contenían un hash de contraseña, lo que podría exponer cualquier contraseña débil a un ataque de fuerza bruta. El valor de la contraseña ahora está enmascarado por completo.
- Se ha corregido una vulnerabilidad que podría permitir la carga no autorizada de archivos en el servidor VSA.
Sin embargo, Kaseya advierte que para evitar más problemas, On Premises VSA Startup Readiness Guide el ” ” debe ser seguido.
Antes de que los administradores procedan a restaurar la conectividad completa entre los servidores de Kaseya VSA y los agentes implementados, deben hacer lo siguiente:
- Asegúrese de que su servidor VSA esté aislado.
- Sistema de verificación de indicadores de compromiso (COI).
- Parchee los sistemas operativos de los servidores VSA.
- Uso de la reescritura de URL para controlar el acceso a VSA a través de IIS.
- Instale el agente de FireEye.
- Quitar scripts/trabajos pendientes.
La banda de REvil parece haberse vuelto oscura
La banda ransomware REvil fueron identificados muy rápidamente como los autores detrás del ataque. Después de ofrecer inicialmente un descifrador universal para $70 millones, bajaron el precio a $50 millones. Ahora parece que la infraestructura y los sitios web de REvil se han desconectado, aunque las razones no están del todo claras. La infraestructura de REvil se compone de sitios web claros y oscuros que se utilizan para fines tales como la filtración de datos y la negociación del rescate. Sin embargo, los sitios ya no son accesibles.
Aún no está claro si REvil decidió cerrar su infraestructura debido a razones técnicas o debido al mayor escrutinio por parte de las fuerzas del orden y el gobierno de los Estados Unidos. Se sabe que REvil opera desde Rusia, y el presidente estadounidense Biden ha estado en conversaciones con el presidente de Rusia, Putin, sobre los ataques, advirtiendo que si Rusia no toma medidas, Estados Unidos lo hará. Aún no está claro si eso tiene algo que ver con el aparente cierre de REvil.