Kaseya szoftvergyártó kiadott egy biztonsági frissítést, amely javítója a VSA (Virtual System Administrator) nulladik napi biztonsági rését, amelyet a legutóbbi REvil ransomware támadásban használnak. A javítás több mint egy héttel azután érkezik, hogy több mint 60 felügyelt szolgáltatót (MSP) és 1500 ügyfelüket érintette egy ransomware támadás, amelynek forrása hamarosan a Kaseya VSA-jának bizonyult.
A támadók, akikről ma már tudjuk, hogy a hírhedt REvil banda, a Kaseya VSA távfelügyeleti és -kezelési szoftvercsomagjának biztonsági rését használták rosszindulatú hasznos teher terjesztésére a szoftver által kezelt házigazdákon keresztül. A végeredmény 60 MSP és több mint 1500 ransomware támadás által érintett vállalat volt.
A Kaseya VSA sebezhetőségeit áprilisban fedezték fel a Dutch Institute for Vulnerability Disclosure (DIVD) kutatói. A DIVD szerint nem sokkal később nyilvánosságra hozták a sebezhetőségeket a Kaseya-nak, lehetővé téve a szoftvercég számára, hogy javításokat adjon ki, hogy megoldjon néhányat, mielőtt visszaélnének velük. Sajnos, míg a DIVD dicséri a Kaseya-t a közzétételre adott pontos és időbeni válaszukért, a rosszindulatú felek használhatták a nem foltozott sebezhetőségeket ransomware támadásukban.
A DIVD által a Kaseya-nak áprilisban nyilvánosságra hozott biztonsági rések a következők:
- CVE-2021-30116 – A hitelesítő adatok kiszivárgása és az üzleti logika hibája, július 11-én megoldva.
- CVE-2021-30117 – Egy SQL injekciós biztonsági rés, amely május 8-án megoldódott.
- CVE-2021-30118 – A Remote Code Execution biztonsági rése, amely április 10-én oldódott meg. (v9.5.6)
- CVE-2021-30119 – A Cross Site Scripting biztonsági rés, július 11-én megoldva.
- CVE-2021-30120 – 2FA bypass, július 11-én megoldva.
- CVE-2021-30121 – A helyi fájlzárványok biztonsági rése, május 8-án megoldva.
- CVE-2021-30201 – Egy XML external entity biztonsági rés, amely május 8-án oldódott meg.
A biztonsági rések 3-as javítása lehetővé tette az REvil számára, hogy felhasználja őket egy nagyszabású támadáshoz, amely 60, a VSA-t használó felügyelt szolgáltatót és 1500 üzleti ügyfelet érintett. Amint Kaseya észrevette, mi folyik itt, figyelmeztette a helyszíni VSA ügyfeleket, hogy azonnal zárják le szervereiket, amíg ki nem ad egy javítást. Sajnos sok vállalat még mindig ransomware támadás áldozatává vált, amelynek elkövetői akár 5 millió dollár váltságdíjat követeltek. Az REvil banda később felajánlott egy univerzális dekódoló 70 millió dollárt, a legnagyobb valaha váltságdíjat követelt.
A VSA 9.5.7a (9.5.7.2994) frissítés javítja az REvil ransomware támadás során használt biztonsági réseket
Július 11-én Kaseya kiadta a VSA 9.5.7a (9.5.7.2994) patch ransomware támadásban használt fennmaradó biztonsági rések javítását.
A VSA 9.5.7a (9.5.7.2994) frissítés a következőket javítóműszereket javító:
- Hitelesítő adatok kiszivárogtatása és üzleti logika hibája: CVE-2021-30116
- Webhelyközi parancsfájl biztonsági rése: CVE-2021-30119
- 2FA elkerülő út: CVE-2021-30120
- Kijavítottunk egy hibát, amely miatt a biztonságos jelzőt nem használtuk a Felhasználói portál munkamenet cookie-jának.
- Kijavítottunk egy problémát, ahol bizonyos API-válaszok jelszó hash-t tartalmaznak, potenciálisan felfedve a gyenge jelszavakat a brute force támadáshoz. A jelszó értéke most teljesen el van takarva.
- Kijavítottunk egy biztonsági rést, amely lehetővé teszi a fájlok jogosulatlan feltöltését a VSA szerverre.
Kaseya azonban arra figyelmeztet, hogy a további problémák elkerülése érdekében a ” On Premises VSA Startup Readiness Guide ” -t követni kell.
Mielőtt az adminisztrátorok folytatják a Kaseya VSA szerver(ek) és a telepített ügynökök közötti teljes kapcsolat helyreállítását, a következőket kell tenniük:
- Győződjön meg arról, hogy a VSA-kiszolgáló el van szigetelve.
- A kompromisszumos mutatók ellenőrző rendszere (NOB).
- A VSA szerverek operációs rendszereinek javítása.
- Az URL-átírással szabályozni lehet a VSA-hoz való hozzáférést az IIS-en keresztül.
- Telepítse a FireEye agent-t.
- Függőben lévő parancsfájlok/feladatok eltávolítása.
Úgy tűnik, az REvil banda elsötétült.
Az REvil ransomware bandát elég gyorsan azonosították a támadás elkövetőiként. Miután eredetileg 70 millió dollárért kínáltak univerzális dekódoló, az árat 50 millió dollárra csökkentették. Most úgy tűnik, hogy a REvil infrastruktúrája és webhelyei offline állapotba kerültek, bár az okok nem teljesen világosak. A REvil infrastruktúrája világos és sötét webhelyekből áll, amelyeket olyan célokra használnak, mint az adatok kiszivárogtatása és a váltságdíjról szóló tárgyalások. A webhelyek azonban már nem érhetők el.
Egyelőre nem világos, hogy a REvil úgy döntött-e, hogy technikai okokból leállítja infrastruktúráját, vagy a bűnüldöző szervek és az amerikai kormány fokozott ellenőrzése miatt. A REvilről köztudott, hogy Oroszországból működik, Biden amerikai elnök pedig putyin orosz elnökkel tárgyalt a támadásokról, figyelmeztetve, hogy ha Oroszország nem lép, az USA megteszi. Hogy ennek van-e köze REvil látszólagos leálláshoz, még nem világos.