Il fornitore di software Kaseya ha rilasciato un aggiornamento della protezione che patch la vulnerabilità zero-day VSA (Virtual System Administrator) utilizzata nel recente attacco ransomware REvil. La patch arriva più di una settimana dopo che oltre 60 fornitori di servizi gestiti (MSP) e 1500 dei loro clienti sono stati interessati da un attacco ransomware, la cui fonte è stata presto identificata come VSA di Kaseya. 
Gli aggressori, ora noti per essere la famigerata banda REvil, hanno utilizzato una vulnerabilità nel pacchetto software di monitoraggio e gestione remota VSA di Kaseya per distribuire un payload dannoso attraverso host gestiti dal software. Il risultato finale è stato 60 MSP e oltre 1500 aziende colpite da attacchi ransomware.
Le vulnerabilità nel VSA di Kaseya sono state scoperte in aprile dai ricercatori del Dutch Institute for Vulnerability Disclosure (DIVD). Secondo DIVD, hanno rivelato le vulnerabilità a Kaseya poco dopo, consentendo alla società di software di rilasciare patch per risolverle prima che potessero essere utilizzate in modo improprio. Sfortunatamente, mentre DIVD loda Kaseya per la loro risposta puntuale e tempestiva alla divulgazione, le parti malintenzionate sono state in grado di utilizzare le vulnerabilità senza patch nel loro attacco ransomware.
Le vulnerabilità divulgate a Kaseya da DIVD in aprile sono le seguenti:
- CVE-2021-30116 – Perdita di credenziali e difetto della logica aziendale, risolto nella patch dell’11 luglio.
- CVE-2021-30117 – Una vulnerabilità di sql injection, risolta nella patch dell’8 maggio.
- CVE-2021-30118 – Una vulnerabilità nell’esecuzione di codice in modalità remota, risolta nella patch del 10 aprile. — (V9.5.6)
- CVE-2021-30119 – Una vulnerabilità di cross site scripting, risolta nella patch dell’11 luglio.
- Bypass CVE-2021-30120 – 2FA, risolto nella patch dell’11 luglio.
- CVE-2021-30121 – Vulnerabilità di inclusione di file locali, risolta nell’8 maggio.
- CVE-2021-30201 – Vulnerabilità di un’entità esterna XML, risolta nell’8 maggio.
La mancata applicazione della patch a 3 delle vulnerabilità in tempo ha consentito a REvil di utilizzarle per un attacco su larga scala che ha avuto un impatto su 60 fornitori di servizi gestiti utilizzando VSA e i loro 1500 clienti aziendali. Non appena Kaseya ha notato cosa stava succedendo, ha avvertito i clienti VSA locali di spegnere immediatamente i loro server fino a quando non ha rilasciato una patch. Sfortunatamente, molte aziende sono ancora diventate vittime di un attacco ransomware i cui autori hanno chiesto fino a $ 5 milioni in riscatto. La banda REvil in seguito offrì un decryptor universale per $ 70 milioni, la più grande richiesta di riscatto di sempre.
L’aggiornamento VSA 9.5.7a (9.5.7.2994) corregge le vulnerabilità utilizzate durante l’attacco ransomware REvil
L’11 luglio, Kaseya rilasciato il VSA 9.5.7a (9.5.7.2994) patch per risolvere le vulnerabilità rimanenti che sono stati utilizzati nell’attacco ransomware.
Le patch di aggiornamento VSA 9.5.7a (9.5.7.2994) sono le seguenti:
- Perdita di credenziali e difetto della logica aziendale: CVE-2021-30116
- Vulnerabilità cross-site scripting: CVE-2021-30119
- Bypass 2FA: CVE-2021-30120
- Risolto un problema per cui il flag sicuro non veniva utilizzato per i cookie di sessione del portale utente.
- Risolto un problema per cui alcune risposte API contenevano un hash della password, potenzialmente esponendo eventuali password deboli all’attacco di forza bruta. Il valore della password è ora completamente mascherato.
- È stata corretta una vulnerabilità che poteva consentire il caricamento non autorizzato di file nel server VSA.
Tuttavia, Kaseya avverte che per evitare ulteriori problemi, il ” On Premises VSA Startup Readiness Guide ” dovrebbe essere seguito.
Prima che gli amministratori procedano al ripristino della connettività completa tra i server VSA Kaseya e gli agenti distribuiti, devono eseguire le operazioni seguenti:
- Verificare che il server VSA sia isolato.
- Sistema di controllo degli indicatori di compromesso (CIO).
- Applicare patch ai sistemi operativi dei server VSA.
- Utilizzo di URL Rewrite per controllare l’accesso a VSA tramite IIS.
- Installare FireEye Agent.
- Rimuovere script/processi in sospeso.
La banda di REvil sembra essere impazzito
La banda ransomware REvil sono stati identificati abbastanza rapidamente come gli autori dietro l’attacco. Dopo aver inizialmente offerto un decryptor universale per $ 70 milioni, hanno abbassato il prezzo a $ 50 milioni. Ora sembra che l’infrastruttura e i siti Web di REvil siano stati portati offline, anche se le ragioni non sono del tutto chiare. L’infrastruttura di REvil è composta da siti web chiari e oscuri che vengono utilizzati per scopi come la perdita di dati e la negoziazione del riscatto. Tuttavia, i siti non sono più raggiungibili.
Non è ancora chiaro se REvil abbia deciso di chiudere la sua infrastruttura per motivi tecnici o a causa dell’aumento del controllo da parte delle forze dell’ordine e del governo degli Stati Uniti. REvil è noto per operare dalla Russia, e il Presidente degli Stati Uniti Biden ha avuto colloqui con il Presidente russo Putin sugli attacchi, avvertendo che se la Russia non prenderà azione, lo faranno gli Stati Uniti. Non è ancora chiaro se ciò abbia qualcosa a che fare con l’apparente arresto di REvil.