Programvareleverandøren Kaseya har gitt ut en sikkerhetsoppdatering som løser nulldagssårbarheten VSA (Virtual System Administrator) som ble brukt i det nylige REvil ransomware-angrepet. Oppdateringen kommer mer enn en uke etter at over 60 administrerte tjenesteleverandører (MSP) og 1500 av kundene deres ble påvirket av et ransomware-angrep, hvis kilde snart ble identifisert som Kaseyas VSA. Kaseya patches VSA vulnerabilities used in recent REvil ransomware attack

Angripere, nå kjent for å være den beryktede REvil-gjengen, brukte et sikkerhetsproblem i Kaseyas VSA-programvarepakke for ekstern overvåking og administrasjon for å distribuere en ondsinnet nyttelast gjennom verter som administreres av programvaren. Sluttresultatet var 60 MSP-er og over 1500 selskaper berørt av ransomware-angrep.

Sårbarhetene i Kaseyas VSA ble oppdaget i april av forskere ved Dutch Institute for Vulnerability Disclosure (DIVD). Ifølge DIVD avslørte de sårbarhetene til Kaseya kort tid etter, slik at programvareselskapet kunne frigjøre oppdateringer for å løse en rekke av dem før de kunne misbrukes. Dessverre, mens DIVD roser Kaseya for deres på-punkt og rettidig respons på avsløringen, var ondsinnede parter i stand til å bruke de ikke-oppdaterte sårbarhetene i ransomware-angrepet.

Sikkerhetsproblemene som ble offentliggjort til Kaseya av DIVD i april, er følgende:

  • CVE-2021-30116 – En legitimasjonslekkasje og forretningslogikkfeil, løst i 11.
  • CVE-2021-30117 – Et sikkerhetsproblem med SQL-injeksjon som ble løst i oppdateringen 8.
  • CVE-2021-30118 – Et sikkerhetsproblem som kan forårsake ekstern kjøring av kode, ble løst i den tiende oppdateringen. (v9.5.6)
  • CVE-2021-30119 – Sikkerhetsproblem med skripting på tvers av områder, som ble løst i oppdateringen for 11.
  • CVE-2021-30120 – 2FA bypass, løst i juli 11 patch.
  • CVE-2021-30121 – Et sikkerhetsproblem som kan forårsake lokal filinkludering, ble løst i oppdateringen 8.
  • CVE-2021-30201 – Et sikkerhetsproblem med ekstern XML-enhet som ble løst i oppdateringen 8.

Hvis du ikke klarte å oppdatere tre av sikkerhetsproblemene i tide, kunne REvil bruke dem til et stort angrep som påvirket 60 administrerte tjenesteleverandører som brukte VSA og deres 1500 bedriftskunder. Så snart Kaseya la merke til hva som foregikk, advarte den lokale VSA-kunder om å umiddelbart slå av serverne sine til den ga ut en oppdatering. Dessverre ble mange selskaper fortsatt ofre for et ransomware-angrep hvis gjerningsmenn krevde opptil $ 5 millioner i løsepenger. REvil-gjengen tilbød senere en universell dekrypter for $ 70 millioner, det største kravet om løsepenger noensinne.

VSA 9.5.7a (9.5.7.2994)-oppdateringen løser sikkerhetsproblemer som brukes under REvil ransomware-angrepet

11. juli ga Kaseya ut VSA 9.5.7a (9.5.7.2994) patch for å fikse de resterende sårbarhetene som ble brukt i ransomware-angrepet.

OPPDATERINGEN VSA 9.5.7a (9.5.7.2994) oppdaterer følgende:

  • Legitimasjonslekkasje og feil i forretningslogikk: CVE-2021-30116
  • Sikkerhetsproblem med skripting på tvers av områder: CVE-2021-30119
  • 2FA bypass: CVE-2021-30120
  • Vi har løst et problem der det sikre flagget ikke ble brukt til informasjonskapsler for brukerportaløkter.
  • Vi har løst et problem der visse API-svar ville inneholde en passordnummer, og potensielt utsette svake passord for brute force-angrep. Passordverdien er nå fullstendig maskert.
  • Vi har løst et sikkerhetsproblem som kan tillate uautorisert opplasting av filer til VSA-serveren.

Kaseya advarer imidlertid om at for å unngå flere problemer, bør » On Premises VSA Startup Readiness Guide følges.

Før administratorer fortsetter å gjenopprette full tilkobling mellom Kaseya VSA-servere og distribuerte agenter, bør de gjøre følgende:

  • Kontroller at VSA-serveren er isolert.
  • Se etter indikatorer for kompromisser (IOC) i systemet.
  • Oppdater operativsystemene til VSA-serverne.
  • Bruke URL-omskriving til å kontrollere tilgangen til VSA gjennom IIS.
  • Installer FireEye Agent.
  • Fjern ventende skript/jobber.

REvil-gjengen ser ut til å ha blitt mørk

REvil ransomware gjengen ble ganske raskt identifisert som gjerningsmennene bak angrepet. Etter først å ha tilbudt en universell dekrypter for $ 70 millioner, senket de prisen til $ 50 millioner. Det ser nå ut til at REvils infrastruktur og nettsteder er tatt offline, selv om årsakene ikke er helt klare. REvils infrastruktur består av både klare og mørke nettsteder som brukes til formål som å lekke data og forhandle løsepenger. Nettstedene kan imidlertid ikke lenger nås.

Det er ennå ikke klart om REvil bestemte seg for å stenge infrastrukturen på grunn av tekniske årsaker eller på grunn av den økte granskningen fra politiet og den amerikanske regjeringen. REvil er kjent for å operere fra Russland, og USAs president Biden har vært i samtaler med Russlands president Putin om angrepene, og advarte om at hvis Russland ikke tar grep, vil USA gjøre det. Hvorvidt det har noe med REvils tilsynelatende nedleggelse å gjøre, er ennå ikke klart.

Legg igjen en kommentar