Programvaruleverantören Kaseya har släppt en säkerhetsuppdatering som korrigerar VSA (Virtual System Administrator) nolldagars sårbarhet som användes i den senaste REvil Ransomware-attacken. Patchen kommer mer än en vecka efter att över 60 leverantörer av hanterade tjänster (MSP) och 1500 av deras kunder påverkades av en ransomware-attack, vars källa snart identifierades vara Kaseyas VSA. 
Angripare, nu kända för att vara det ökända REvil-gänget, använde en sårbarhet i Kaseyas VSA-programvara för fjärrövervakning och hantering för att distribuera en skadlig nyttolast via värdar som hanteras av programvaran. Slutresultatet blev 60 MSP och över 1500 företag som drabbades av ransomware-attacker.
Sårbarheterna i Kaseyas VSA upptäcktes i april av forskare vid Dutch Institute for Vulnerability Disclosure (DIVD). Enligt DIVD avslöjade de sårbarheterna för Kaseya strax efter, vilket gjorde det möjligt för mjukvaruföretaget att släppa patchar för att lösa ett antal av dem innan de kunde missbrukas. Tyvärr, medan DIVD berömmer Kaseya för deras svar på avslöjandet i rätt tid, kunde skadliga parter använda de opatched sårbarheterna i sin ransomware-attack.
De sårbarheter som DIVD avslöjade för Kaseya i april är följande:
- CVE-2021-30116 – En autentiseringsläcka och affärslogikfel, löst i juli 11 patch.
- CVE-2021-30117 – Ett SQL-injektionssårbarhet, löst i maj 8: e patchen.
- CVE-2021-30118 – Ett säkerhetsproblem vid fjärrkörning av kod, löst i den 10 april. (v9.5.6)
- CVE-2021-30119 – Ett säkerhetsproblem för skript på flera sajter, löst i juli 11 korrigeringsfil.
- CVE-2021-30120 – 2FA bypass, löst i juli 11 patch.
- CVE-2021-30121 – Ett lokalt filinkluderingssårbarhet, löst i maj 8: e korrigeringsfilen.
- CVE-2021-30201 – Ett XML-externt entitetssår, löst i maj 8:e korrigeringsfilen.
Underlåtenhet att korrigera 3 av sårbarheterna i tid gjorde det möjligt för REvil att använda dem för en storskalig attack som påverkade 60 hanterade tjänsteleverantörer med VSA och deras 1500 företagskunder. Så snart Kaseya märkte vad som pågick varnade det lokala VSA-kunder för att omedelbart stänga av sina servrar tills det släppte en patch. Tyvärr blev många företag fortfarande offer för en ransomware-attack vars förövare krävde upp till $ 5 miljoner i lösen. REvil-gänget erbjöd senare en universell dekrypterare för 70 miljoner dollar, det största lösenkravet någonsin.
VSA 9.5.7a (9.5.7.2994) uppdateringen åtgärdar sårbarheter som används under REvil Ransomware-attacken
Den 11 juli släppte Kaseya de VSA 9.5.7a (9.5.7.2994) patch återstående sårbarheterna som användes i ransomware-attacken.
Vsa 9.5.7a (9.5.7.2994) uppdaterar följande:
- Autentiseringsuppgifter läcka och affärslogik fel: CVE-2021-30116
- Säkerhetsproblem på flera skript: CVE-2021-30119
- 2FA bypass: CVE-2021-30120
- Åtgärdade ett problem där den säkra flaggan inte användes för cookies för användarportalsessioner.
- Åtgärdade ett problem där vissa API-svar skulle innehålla en lösenords hash, vilket potentiellt exponerar eventuella svaga lösenord för brute force attack. Lösenordsvärdet är nu helt maskerat.
- Åtgärdat ett säkerhetsproblem som kunde tillåta obehörig överföring av filer till VSA-servern.
Kaseya varnar dock för att för att undvika fler problem bör ” On Premises VSA Startup Readiness Guide ” följas.
Innan administratörer fortsätter att återställa fullständig anslutning mellan Kaseya VSA-servrar och distribuerade agenter bör de göra följande:
- Se till att VSA-servern är isolerad.
- Kontrollera systemet för kompromissindikatorer (IOK).
- Korrigera VSA-servrarnas operativsystem.
- Använda URL-omskrivning för att styra åtkomsten till VSA via IIS.
- Installera FireEye Agent.
- Ta bort väntande skript/jobb.
REvil-gänget verkar ha blivit mörkt
REvil Ransomware-gänget identifierades ganska snabbt som förövarna bakom attacken. Efter att först ha erbjudit en universell dekrypterare för 70 miljoner dollar sänkte de priset till 50 miljoner dollar. Det verkar nu som om REvils infrastruktur och webbplatser har tagits offline, även om orsakerna inte är helt tydliga. REvils infrastruktur består av både tydliga och mörka webbplatser som används för ändamål som att läcka data och förhandla om lösensumman. Webbplatserna kan dock inte längre nås.
Det är ännu inte klart om REvil beslutade att stänga sin infrastruktur på grund av tekniska skäl eller på grund av den ökade granskningen av brottsbekämpande myndigheter och den amerikanska regeringen. REvil är känd för att operera från Ryssland, och USA:s president Biden har fört samtal med Rysslands president Vladimir Putin om attackerna och varnat för att om Ryssland inte vidtar åtgärder kommer USA att göra det. Om det har något att göra med REvils uppenbara avstängning är ännu inte klart.