Dodávateľ softvéru Kaseya vydala aktualizáciu zabezpečenia, ktorá znemožní VSA (Virtual System Administrator) nulový deň zraniteľnosť používaná v nedávnom útoku ransomware REvil. Oprava prichádza viac ako týždeň po tom, čo viac ako 60 poskytovateľov spravovaných služieb (MSP) a 1500 ich zákazníkov bolo ovplyvnených útokom ransomware, ktorého zdroj bol čoskoro identifikovaný ako VSA spoločnosti Kaseya. 
Útočníci, teraz známy ako notoricky známy REvil gang, použili zraniteľnosť v softvéri VSA vzdialeného monitorovania a správy VSA spoločnosti Kaseya na distribúciu škodlivého užitočného zaťaženia prostredníctvom hostiteľov, ktorí sú spravovaní softvérom. Konečný výsledok bol 60 MSP a viac ako 1500 spoločností postihnutých útokmi ransomware.
Zraniteľnosti VSA spoločnosti Kaseya objavili vedci v apríli v Dutch Institute for Vulnerability Disclosure (DIVD). Podľa DIVD odhalili zraniteľnosti kaseya čoskoro potom, čo umožnilo softvérovej spoločnosti uvoľniť záplaty, aby vyriešila niekoľko z nich skôr, ako by mohli byť zneužité. Bohužiaľ, zatiaľ čo DIVD chváli Kaseyu za ich bodovú a včasnú reakciu na zverejnenie, škodlivé strany boli schopné použiť neopravené zraniteľnosti pri útoku ransomware.
Zraniteľnosti, ktoré spoločnosť DIVD zverejnila spoločnosti Kaseya v apríli, sú tieto:
- CVE-2021-30116 – Únik poverení a chyba obchodnej logiky, vyriešená v júli 11 patch.
- CVE-2021-30117 – SQL injekcie zraniteľnosť, vyriešený v máji 8.
- CVE-2021-30118 – Vzdialené spustenie kódu zraniteľnosť, vyriešený v apríli 10. (v9.5.6)
- CVE-2021-30119 – Zraniteľnosť skriptovania medzi lokalitami, vyriešená v júli 11 patch.
- CVE-2021-30120 – 2FA bypass, vyriešený v júli 11 patch.
- CVE-2021-30121 – Nedostatočné zahrnutie lokálnych súborov, vyriešené v máji 8 patch.
- CVE-2021-30201 – XML externé entity zraniteľnosť, vyriešený v máji 8 patch.
Neschopnosť opraviť 3 zraniteľnosti včas umožnila spoločnosti REvil využiť ich na rozsiahly útok, ktorý ovplyvnil 60 spravovaných poskytovateľov služieb používajúcich VSA a ich 1500 obchodných zákazníkov. Akonáhle si Kaseya všimla, čo sa deje, varovala zákazníkov VSA, aby okamžite vypli svoje servery, kým nevydá opravu. Bohužiaľ, mnohé spoločnosti sa stále stali obeťami útoku ransomware, ktorého páchatelia požadovali výkupné až 5 miliónov dolárov. REvil gang neskôr ponúkol univerzálny dešifrovač za 70 miliónov dolárov, najväčší dopyt po výkupe.
Aktualizácia VSA 9.5.7a (9.5.7.2994) opravuje zraniteľnosti používané počas útoku ransomware REvil
11. júla Kaseya vydala opravu VSA 9.5.7a (9.5.7.2994) patch zostávajúcich zraniteľností, ktoré boli použité pri útoku ransomware.
Aktualizácia VSA 9.5.7a (9.5.7.2994) záplatuje nasledovné:
- Únik poverení a chyba obchodnej logiky: CVE-2021-30116
- Zraniteľnosť skriptovania medzi lokalitami: CVE-2021-30119
- 2FA obchvat: CVE-2021-30120
- Vyriešil sa problém, kedy sa zabezpečený príznak nepoužíval pre súbory cookie relácie používateľského portálu.
- Opravený problém, kedy niektoré odpovede rozhrania API obsahovali hash hesla, čím by sa potenciálne vystavili slabé heslá útoku hrubou silou. Hodnota hesla je teraz úplne maskovaná.
- Opravené nedostatočné zabezpečenie, ktoré by mohlo umožniť neoprávnené odovzdanie súborov na server VSA.
Kaseya však varuje, že aby sa predišlo ďalším problémom, je On Premises VSA Startup Readiness Guide potrebné dodržiavať ” “.
Skôr než správcovia pristúpia k obnove úplnej konektivity medzi servermi Kaseya VSA a nasadenými agentmi, mali by urobiť nasledovné:
- Uistite sa, že server VSA je izolovaný.
- Skontrolujte, či systém nie je indikátory kompromisu (MOV).
- Oprava operačných systémov serverov VSA.
- Pomocou url prepísať na riadenie prístupu k VSA prostredníctvom SLUŽBY IIS.
- Nainštalujte FireEye Agent.
- Odstrániť čakajúce skripty alebo úlohy.
Zdá sa, že REvil gang zmizol.
Gang ransomvér REvil bol veľmi rýchlo identifikovaný ako páchatelia útoku. Po počiatočnej ponuke univerzálneho dešifrovača za 70 miliónov dolárov znížili cenu na 50 miliónov dolárov. Teraz sa zdá, že infraštruktúra a webové stránky spoločnosti REvil boli prevzaté do režimu offline, hoci dôvody nie sú úplne jasné. Infraštruktúra spoločnosti REvil sa smie z jasných aj tmavých webových stránok, ktoré sa používajú na účely, ako je únik údajov a vyjednávanie o výkupe. Lokality však už nie sú dostupné.
Zatiaľ nie je jasné, či sa REvil rozhodol odstaviť svoju infraštruktúru z technických dôvodov alebo z dôvodu zvýšenej kontroly zo strany orgánov činných v trestnom konaní a americkej vlády. REvil je známy tým, že operuje z Ruska a americký prezident Biden rokova o útokoch s ruským prezidentom Putinom a varuje, že ak Rusko neprisadne, USA budú konať. Či to má niečo spoločné so Zdanlivým odstavením REvilu, zatiaľ nie je jasné.