Le fournisseur de logiciels Kaseya a publié une mise à jour de sécurité qui corrige la vulnérabilité vsa (Virtual System Administrator) zero-day utilisée dans la récente attaque de ransomware REvil. Le correctif intervient plus d’une semaine après que plus de 60 fournisseurs de services gérés (MSP) et 1500 de leurs clients ont été touchés par une attaque de ransomware, dont la source a rapidement été identifiée comme étant le VSA de Kaseya. 
Les attaquants, maintenant connus pour être le célèbre gang REvil, ont utilisé une vulnérabilité dans le logiciel de surveillance et de gestion à distance VSA de Kaseya pour distribuer une charge utile malveillante via des hôtes gérés par le logiciel. Le résultat final a été 60 MSP et plus de 1500 entreprises touchées par des attaques de ransomware.
Les vulnérabilités dans VSA de Kaseya ont été découverts en Avril par des chercheurs à la Dutch Institute for Vulnerability Disclosure (DIVD). Selon DIVD, ils ont divulgué les vulnérabilités à Kaseya peu de temps après, permettant à la société de logiciels de publier des correctifs pour résoudre un certain nombre d’entre eux avant qu’ils ne puissent être mal utilisés. Malheureusement, alors que DIVD loue Kaseya pour leur réponse ponctuelle et opportune à la divulgation, les parties malveillantes ont pu utiliser les vulnérabilités non corrigées dans leur attaque ransomware.
Les vulnérabilités divulguées à Kaseya par DIVD en Avril sont les suivantes:
- CVE-2021-30116 – Une fuite d’informations d’identification et une faille de logique métier, résolu en Juillet 11 patch.
- CVE-2021-30117 – Une vulnérabilité d’injection SQL, résolu dans le correctif du 8 mai.
- CVE-2021-30118 – Une vulnérabilité d’exécution de code à distance, résolu dans le correctif du 10 avril. (v9.5.6)
- CVE-2021-30119 – Une vulnérabilité cross-site scripting, résolu dans juillet 11 patch.
- CVE-2021-30120 – contournement 2FA, résolu en Juillet 11 patch.
- CVE-2021-30121 – Une vulnérabilité d’inclusion de fichiers locaux, résolu dans le correctif du 8 mai.
- CVE-2021-30201 – Une vulnérabilité d’entité externe XML, résolu dans le correctif du 8 mai.
Le fait de ne pas corriger 3 des vulnérabilités à temps a permis à REvil de les utiliser pour une attaque à grande échelle qui a eu un impact sur 60 fournisseurs de services gérés utilisant VSA et leurs 1500 clients professionnels. Dès que Kaseya a remarqué ce qui se passait, il a averti les clients VSA sur site d’arrêter immédiatement leurs serveurs jusqu’à ce qu’il publie un correctif. Malheureusement, de nombreuses entreprises ont encore été victimes d’une attaque de ransomware dont les auteurs ont exigé jusqu’à 5 millions de dollars en rançon. Le gang REvil a plus tard offert un décrypteur universel pour $70 millions, la plus grande demande de rançon jamais.
La mise à jour VSA 9.5.7a (9.5.7.2994) corrige les vulnérabilités utilisées lors de l’attaque du rançongiciel REvil
Le 11 juillet, Kaseya a publié le VSA 9.5.7a (9.5.7.2994) patch pour corriger les vulnérabilités restantes qui ont été utilisées dans l’attaque ransomware.
La mise à jour VSA 9.5.7a (9.5.7.2994) corrige les éléments suivants :
- Fuite d’informations d’identification et faille de logique métier : CVE-2021-30116
- Vulnérabilité de script inter-sites (cross-site scripting) : CVE-2021-30119
- Contournement 2FA : CVE-2021-30120
- Correction d’un problème où l’indicateur sécurisé n’était pas utilisé pour les cookies de session du portail utilisateur.
- Correction d’un problème où certaines réponses d’API contenaient un hachage de mot de passe, exposant potentiellement tous les mots de passe faibles à une attaque par force brute. La valeur du mot de passe est maintenant complètement masquée.
- Correction d’une vulnérabilité qui pouvait permettre le téléchargement non autorisé de fichiers sur le serveur VSA.
Cependant, Kaseya avertit que pour éviter d’autres problèmes, le On Premises VSA Startup Readiness Guide « » doit être suivi.
Avant que les administrateurs ne procèdent à la restauration d’une connectivité complète entre les serveurs Kaseya VSA et les agents déployés, ils doivent effectuer les opérations suivantes :
- Assurez-vous que votre serveur VSA est isolé.
- Vérifiez le système d’indicateurs de compromission (IOC).
- Corrigez les systèmes d’exploitation des serveurs VSA.
- Utilisation de la réécriture d’URL pour contrôler l’accès à VSA via IIS.
- Installez FireEye Agent.
- Supprimer les scripts/travaux en attente.
Le gang REvil semble être devenu sombre
Le gang ransomware REvil ont été assez rapidement identifiés comme les auteurs derrière l’attaque. Après avoir initialement offert un décrypteur universel pour $70 millions, ils ont abaissé le prix à $50 millions. Il semble maintenant que l’infrastructure et les sites Web de REvil aient été mis hors ligne, bien que les raisons ne soient pas tout à fait claires. L’infrastructure de REvil est composée de sites Web clairs et sombres qui sont utilisés à des fins telles que la fuite de données et la négociation de la rançon. Cependant, les sites ne sont plus accessibles.
Il n’est pas encore clair si REvil a décidé de fermer son infrastructure pour des raisons techniques ou en raison de la surveillance accrue par les forces de l’ordre et le gouvernement américain. REvil est connu pour opérer à partir de la Russie, et le président américain Biden a été en pourparlers avec le président russe Poutine au sujet des attaques, avertissant que si la Russie ne prend pas de mesures, les États-Unis le feront. On ne sait pas encore si cela a quelque chose à voir avec l’arrêt apparent de REvil.