O fornecedor de software Kaseya lançou uma atualização de segurança que corrige a vulnerabilidade de zero-day do VSA (Virtual System Administrator) usada no recente ataque de ransomware REvil. O patch vem mais de uma semana depois que mais de 60 provedores de serviços gerenciados (MSP) e 1500 de seus clientes foram impactados por um ataque de ransomware, a fonte que logo foi identificada como sendo o VSA da Kaseya.
Os atacantes, agora conhecidos por serem a famosa gangue REvil, usaram uma vulnerabilidade no pacote de software de monitoramento remoto e gerenciamento VSA da Kaseya para distribuir uma carga maliciosa através de hosts que são gerenciados pelo software. O resultado final foi de 60 MSPs e mais de 1500 empresas afetadas por ataques de ransomware.
As vulnerabilidades no VSA de Kaseya foram descobertas em abril por pesquisadores do Dutch Institute for Vulnerability Disclosure (DIVD). De acordo com a DIVD, eles divulgaram as vulnerabilidades para Kaseya logo depois, permitindo que a empresa de software liberasse patches para resolver vários deles antes que pudessem ser mal utilizados. Infelizmente, enquanto o DIVD elogia Kaseya por sua resposta pontual e pontual à divulgação, as partes mal-intencionadas foram capazes de usar as vulnerabilidades não reparadas em seu ataque de ransomware.
As vulnerabilidades divulgadas à Kaseya pela DIVD em abril são as seguintes:
- CVE-2021-30116 – Um vazamento de credenciais e falha lógica de negócios, resolvido em 11 de julho.
- CVE-2021-30117 – Uma vulnerabilidade de injeção SQL, resolvida em 8 de maio.
- CVE-2021-30118 – Uma vulnerabilidade de execução de código remoto, resolvida em 10 de abril. (v9.5.6)
- CVE-2021-30119 – Uma vulnerabilidade de scripting de site cruzado, resolvida em 11 de julho.
- CVE-2021-30120 – 2FA bypass, resolvido em 11 de julho patch.
- CVE-2021-30121 – Uma vulnerabilidade de inclusão de arquivos locais, resolvida em 8 de maio.
- CVE-2021-30201 – Uma vulnerabilidade da Entidade Externa XML, resolvida em 8 de maio.
A não correção de 3 das vulnerabilidades a tempo permitiu que a REvil as utilizasse para um ataque em larga escala que impactou 60 provedores de serviços gerenciados usando o VSA e seus 1500 clientes comerciais. Assim que Kaseya percebeu o que estava acontecendo, ele alertou os clientes da VSA no local para desligarem imediatamente seus servidores até que ele liberasse um patch. Infelizmente, muitas empresas ainda se tornaram vítimas de um ataque de ransomware cujos criminosos exigiram até US$ 5 milhões em resgate. Mais tarde, a gangue REvil ofereceu um decodificador universal por 70 milhões de dólares, o maior pedido de resgate de todos os tempos.
A atualização VSA 9.5.7a (9.5.7.2994) corrige vulnerabilidades usadas durante o ataque do ransomware REvil
Em 11 de julho, Kaseya lançou VSA 9.5.7a (9.5.7.2994) patch o para corrigir as vulnerabilidades restantes que foram usadas no ataque de ransomware.
A atualização VSA 9.5.7a (9.5.7.2994) é a seguinte:
- Falha de vazamento de credenciais e lógica de negócios: CVE-2021-30116
- Vulnerabilidade de scripting entre sites: CVE-2021-30119
- Bypass 2FA: CVE-2021-30120
- Corrigimos um problema em que o sinalizador seguro não estava sendo usado para cookies de sessão do Portal do Usuário.
- Corrigimos um problema onde certas respostas de API conteriam um hash de senha, potencialmente expondo quaisquer senhas fracas para ataque de força bruta. O valor da senha agora está completamente mascarado.
- Corrigimos uma vulnerabilidade que poderia permitir o upload não autorizado de arquivos para o servidor VSA.
No entanto, Kaseya adverte que para evitar mais problemas, o ” On Premises VSA Startup Readiness Guide ” deve ser seguido.
Antes que os administradores prossigam para restaurar a conectividade completa entre os servidores Kaseya VSA e os agentes implantados, eles devem fazer o seguinte:
- Certifique-se de que seu servidor VSA está isolado.
- Verificar sistema de indicadores de compromisso (COI).
- Remenda os sistemas operacionais dos servidores VSA.
- Usando a Reescrita de URL para controlar o acesso ao VSA através do IIS.
- Instale o FireEye Agent.
- Remova scripts/trabalhos pendentes.
A gangue REvil parece ter enlouqueido.
A gangue de ransomware REvil foi rapidamente identificada como os autores por trás do ataque. Depois de inicialmente oferecer um descriptografador universal por US$ 70 milhões, eles reduziram o preço para US$ 50 milhões. Agora parece que a infraestrutura e os sites da REvil foram retirados do ar, embora as razões não sejam totalmente claras. A infraestrutura da REvil é composta por sites claros e escuros que são usados para fins como vazamento de dados e negociação do resgate. No entanto, os locais não são mais acessíveis.
Ainda não está claro se a REvil decidiu desligar sua infraestrutura por razões técnicas ou por causa do aumento do escrutínio da aplicação da lei e do governo dos EUA. A REvil é conhecida por operar a partir da Rússia, e o presidente dos EUA Biden tem estado em negociações com o presidente russo Putin sobre os ataques, alertando que se a Rússia não agir, os EUA irão. Ainda não está claro se isso tem algo a ver com o aparente desligamento da REvil.