Dostawca oprogramowania Kaseya wydała aktualizację zabezpieczeń, która łata VSA (Virtual System Administrator) zero-day luki w zabezpieczeniach używane w ostatnich REvil ransomware ataku. Łatka pojawia się ponad tydzień po tym, jak ponad 60 dostawców usług zarządzanych (MSP) i 1500 ich klientów zostało dotkniętych atakiem ransomware, którego źródło wkrótce zostało zidentyfikowane jako VSA Kaseya. 
Atakujący, obecnie znany jako osławiony gang REvil, wykorzystali lukę w pakiecie oprogramowania do zdalnego monitorowania i zarządzania vsa kaseya do dystrybucji złośliwego ładunku za pośrednictwem hostów zarządzanych przez oprogramowanie. W rezultacie 60 msp i ponad 1500 firm dotkniętych atakami ransomware.
Luki w VSA Kaseya zostały odkryte w kwietniu przez naukowców Dutch Institute for Vulnerability Disclosure z (DIVD). Według DIVD, wkrótce potem ujawnili kaseya luki, pozwalając firmie zajmującej się oprogramowaniem na wydanie poprawek, aby rozwiązać wiele z nich, zanim mogły zostać wykorzystane niezgodnie z przeznaczeniem. Niestety, podczas gdy DIVD chwali Kaseyę za ich na miejscu i terminową reakcję na ujawnienie, złośliwe strony były w stanie wykorzystać niezałatane luki w ataku ransomware.
Luki ujawnione Kaseya przez DIVD w kwietniu są następujące:
- CVE-2021-30116 — wyciek poświadczeń i błąd logiki biznesowej, rozwiązany w aktualizacji z 11 lipca.
- CVE-2021-30117 — luka w zabezpieczeniach związany z iniekcją SQL rozwiązana w aktualizacji z 8 maja.
- CVE-2021-30118 — luka w zabezpieczeniach zdalnego wykonywania kodu, rozwiązana w aktualizacji z 10 kwietnia. (v9.5.6)
- CVE-2021-30119 — luka w zabezpieczeniach skryptów krzyżowych, rozwiązana w aktualizacji z 11 lipca.
- CVE-2021-30120 – obwodnica 2FA, rozwiązana w lipcu 11 patch.
- CVE-2021-30121 — luka w zabezpieczeniach lokalnego włączenia plików, rozwiązana w aktualizacji z 8 maja.
- CVE-2021-30201 — luka w zabezpieczeniach zewnętrznego podmiotu XML, rozwiązana w aktualizacji z 8 maja.
Nieułacenie 3 luk w zabezpieczeniach na czas pozwoliło REvil wykorzystać je do ataku na dużą skalę, który wpłynął na 60 zarządzanych dostawców usług korzystających z vsa i ich 1500 klientów biznesowych. Gdy tylko Kaseya zauważył, co się dzieje, ostrzegł lokalnych klientów VSA, aby natychmiast zamknęli swoje serwery, dopóki nie wydała poprawki. Niestety, wiele firm nadal stało się ofiarami ataku ransomware, którego sprawcy zażądali do 5 milionów dolarów okupu. Gang REvil zaoferował później uniwersalny deszyfrator za 70 milionów dolarów, co było największym w historii żądaniem okupu.
Aktualizacja VSA 9.5.7a (9.5.7.2994) usuwa luki w zabezpieczeniach używane podczas ataku ransomware REvil
11 lipca Kaseya wydała, VSA 9.5.7a (9.5.7.2994) patch aby naprawić pozostałe luki, które zostały wykorzystane w ataku ransomware.
Aktualizacja vsa 9.5.7a (9.5.7.2994) wprowadza następujące poprawki:
- Wyciek poświadczeń i wada logiki biznesowej: CVE-2021-30116
- Luka w zabezpieczeniach skryptów międzyumiejecyjnych: CVE-2021-30119
- Obwodnica 2FA: CVE-2021-30120
- Naprawiono błąd, który powodował, że bezpieczna flaga nie była używana w plikach cookie sesji portalu użytkowników.
- Naprawiono błąd, który powodował, że niektóre odpowiedzi interfejsu API zawierały skrót hasła, potencjalnie ujawniając słabe hasła przed atakiem siłowym. Wartość hasła jest teraz całkowicie zamaskowana.
- Naprawiono lukę, która umożliwiała nieautoryzowane przekazywanie plików na serwer VSA.
Jednak Kaseya ostrzega, że aby uniknąć kolejnych problemów, ” On Premises VSA Startup Readiness Guide ” należy przestrzegać.
Zanim administratorzy przystąpią do przywracania pełnej łączności między serwerami kaseya VSA a wdrożonymi agentami, powinni wykonać następujące czynności:
- Upewnij się, że serwer VSA jest odizolowany.
- Sprawdź system pod kątem wskaźników kompromisu (IOC).
- Popraw systemy operacyjne serwerów VSA.
- Używanie funkcji przepisywania adresów URL w celu kontrolowania dostępu do usługi VSA za pośrednictwem usługi IIS.
- Zainstaluj Agenta FireEye.
- Usuń oczekujące skrypty/zadania.
Wydaje się, że gang REvil zaciemnił się
Gang ransomware REvil dość szybko został zidentyfikowany jako sprawcy ataku. Po początkowym oferowaniu uniwersalnego deszyfratora za 70 milionów dolarów, obniżyli cenę do 50 milionów dolarów. Teraz wydaje się, że infrastruktura IWvil i strony internetowe zostały wyłączone, choć powody nie są do końca jasne. Infrastruktura REvil składa się zarówno z jasnych, jak i ciemnych stron internetowych, które są wykorzystywane do celów takich jak wyciek danych i negocjowanie okupu. Jednak witryny nie są już dostępne.
Nie jest jeszcze jasne, czy REvil zdecydował się zamknąć swoją infrastrukturę z przyczyn technicznych lub ze względu na zwiększoną kontrolę ze strony organów ścigania i rządu USA. REvil jest znany z działania z Rosji, a prezydent USA Biden prowadzi rozmowy z prezydentem Rosji Putinem na temat ataków, ostrzegając, że jeśli Rosja nie podejmie działań, USA to zrobią. Nie jest jeszcze jasne, czy ma to coś wspólnego z pozornym zamknięciem REvil.