Ohjelmistotoimittaja Kaseya on julkaissut tietoturvapäivityksen, joka korjaa äskettäisessä REvil-kiristyshaittaohjelmahyökkäyksessä käytetyn VSA (Virtual System Administrator) -nollapäivähaavoittuvuuden. Korjaustiedosto tulee yli viikko sen jälkeen, kun yli 60 hallittua palveluntarjoajaa (MSP) ja 1500 heidän asiakastaan joutui ransomware-hyökkäyksen kohteeksi, jonka lähde tunnistettiin pian Kaseyan VSA:ksi. 
Hyökkääjät, jotka tunnetaan nykyään pahamaineisena REvil-jenginä, käyttivät Kaseyan VSA-etävalvonta- ja hallintaohjelmistopaketin haavoittuvuutta jakaakseen haitallisen hyötykuorman ohjelmiston hallinnoimien isäntien kautta. Lopputuloksena oli 60 MSP:tä ja yli 1500 yritystä, joihin kiristyshaittaohjelmahyökkäykset vaikuttivat.
Kaseyan VSA:n haavoittuvuudet havaittiin huhtikuussa Dutch Institute for Vulnerability Disclosure (DIVD) tutkijoiden toimesta. DIVD:n mukaan he julkistivat haavoittuvuudet Kaseyalle pian sen jälkeen, jolloin ohjelmistoyritys pystyi julkaisemaan korjaustiedostoja ratkaistakseen useita niistä ennen kuin niitä voitiin käyttää väärin. Valitettavasti, vaikka DIVD ylistää Kaseyaa heidän kohtaisesta ja ajoissa reagoinnistaan paljastukseen, pahantahtoiset osapuolet pystyivät käyttämään tahattoman haavoittuvuuden kiristysohjelmahyökkäyksessä.
DIVD:n Kaseyalle huhtikuussa paljastamat haavoittuvuudet ovat seuraavat:
- CVE-2021-30116 – Tunnistetietojen vuoto ja liiketoimintalogiikkavirhe, joka ratkaistiin heinäkuun 11.
- CVE-2021-30117 – SQL-injektiohaavoittuvuus, joka ratkaistiin toukokuun 8.
- CVE-2021-30118 – Koodin etäsuorittamisen haavoittuvuus, joka ratkaistiin huhtikuun 10. (v9.5.6)
- CVE-2021-30119 – Sivustojen rajat ylittävä komentosarjahaavoittuvuus, joka ratkaistiin heinäkuun 11.
- CVE-2021-30120 – 2FA ohitus, ratkaistu heinäkuussa 11 korjaustiedosto.
- CVE-2021-30121 – Paikallisen tiedoston sisällyttämisen haavoittuvuus, joka ratkaistiin toukokuun 8.
- CVE-2021-30201 – Xml-ulkoisen entiteetin haavoittuvuus, joka ratkaistiin toukokuun 8.
Jos 3 haavoittuvuutta ei onnistuttu paikkaamaan ajoissa, REvil voi käyttää niitä laajamittaiseen hyökkäykseen, joka vaikutti 60 hallittuun palveluntarjoajaan VSA:n ja heidän 1500 yritysasiakkaansa avulla. Heti kun Kaseya huomasi, mitä oli tekeillä, se varoitti paikan päällä toimivia VSA-asiakkaita sulkemaan palvelimensa välittömästi, kunnes se julkaisi korjaustiedoston. Valitettavasti monet yritykset joutui edelleen kiristyshaittaohjelmahyökkäyksen uhreiksi, joiden tekijät vaativat jopa 5 miljoonan dollarin lunnaita. REvil-jengi tarjosi myöhemmin yleistä salauksenrikkojaa 70 miljoonalla dollarilla, joka on kaikkien aikojen suurin lunnasvaatimus.
VSA 9.5.7a (9.5.7.2994) -päivitys korjaa REvil-kiristyshaittaohjelmahyökkäyksen aikana käytetyt haavoittuvuudet
11. heinäkuuta Kaseya julkaisi -järjestelmän VSA 9.5.7a (9.5.7.2994) patch korjatakseen jäljellä olevat haavoittuvuudet, joita käytettiin kiristyshaittaohjelmahyökkäyksessä.
VSA 9.5.7a (9.5.7.2994) -päivitys korjaa seuraavat:
- Tunnistetietojen vuoto ja liiketoimintalogiikan virhe: CVE-2021-30116
- Sivustojen palkkien sarjojen haavoittuvuus: CVE-2021-30119
- 2FA ohitus: CVE-2021-30120
- Korjattu ongelma, jonka vuoksi suojattua lippua ei käytetty käyttäjäportaalin istuntoevästeissä.
- Korjattu ongelma, jonka vuoksi tietyt API-vastaukset sisältävät salasanan hasiksen, mikä saattaa altistaa heikot salasanat raakaan voiman hyökkäykseen. Salasanan arvo on nyt kokonaan peitetty.
- Korjattu haavoittuvuus, joka saattaa sallia tiedostojen luvattoman lataamisen VSA-palvelimeen.
Kaseya kuitenkin varoittaa, että uusien ongelmien välttämiseksi on On Premises VSA Startup Readiness Guide noudatettava ” ” – näätää.
Ennen kuin järjestelmänvalvojat palauttavat täyden yhteyden Kaseya VSA -palvelimien ja käyttöön otettujen agenttien välille, heidän on tehtävä seuraavat toimet:
- Varmista, että VSA-palvelin on eristetty.
- Tarkista kompromissien indikaattorijärjestelmä (KOK).
- Korjaa VSA-palvelimien käyttöjärjestelmät.
- URL-osoitteen uudelleennimeäminen VSA:n käytön hallintaan IIS:n kautta.
- Asenna FireEye-agentti.
- Poista odottavat komentosarjat/työt.
REvil-jengi näyttää pimenneen.
REvil-kiristyshaittaohjelmajengi tunnistettiin melko nopeasti hyökkäyksen tekijöiksi. Kun he olivat alun perin tarjoaneet yleisen salauksen salauksen 70 miljoonalla dollarilla, he laskivat hinnan 50 miljoonaan dollariin. Nyt näyttää siltä, että REvilin infrastruktuuri ja verkkosivustot on poistettu käytöstä, vaikka syyt eivät ole täysin selvät. REvilin infrastruktuuri on sekä selkeitä että pimeitä verkkosivustoja, joita käytetään esimerkiksi tietojen vuotamiseen ja lunnaiden neuvottelemiseen. Sivustot eivät kuitenkaan ole enää tavoitettavissa.
Vielä ei ole selvää, päättikö REvil sulkea infrastruktuurinsa teknisistä syistä vai lainvalvontaviranomaisten ja Yhdysvaltain hallituksen lisääntyneen valvonnan vuoksi. REvilin tiedetään toimivan Venäjältä, ja Yhdysvaltain presidentti Biden on käynyt iskuista keskusteluja Venäjän presidentin Putinin kanssa varoittaen, että jos Venäjä ei ryhdy toimiin, Yhdysvallat ryhtyy. Ei ole vielä selvää, liittyykö se REvilin ilmeiseen sulkemiseen.