ผู้จําหน่ายซอฟต์แวร์ Kaseya ได้ออกการปรับปรุงความปลอดภัยที่แก้ไขช่องโหว่ VSA (ผู้ดูแลระบบเสมือน) ศูนย์วันที่ใช้ในการโจมตีแรนซัมแวร์ REvil ล่าสุด แพทช์มามากกว่าหนึ่งสัปดาห์หลังจากกว่า 60 ผู้ให้บริการที่มีการจัดการ (MSP) และ 1500 ของลูกค้าของพวกเขาได้รับผลกระทบจากการโจมตี ransomware, แหล่งที่มาซึ่งเร็ว ๆ นี้ถูกระบุว่าเป็น VSA ของ Kaseya.
ผู้โจมตีซึ่งตอนนี้เป็นที่รู้จักกันว่าเป็นแก๊ง REvil ที่มีชื่อเสียงใช้ช่องโหว่ในแพคเกจซอฟต์แวร์การตรวจสอบและการจัดการระยะไกล VSA ของ Kaseya เพื่อกระจายน้ําหนักบรรทุกที่เป็นอันตรายผ่านโฮสต์ที่จัดการโดยซอฟต์แวร์ ผลลัพธ์สุดท้ายคือ 60 MSP และ บริษัท กว่า 1,500 แห่งที่ได้รับผลกระทบจากการโจมตีแรนซัมแวร์
ช่องโหว่ใน VSA ของ Kaseya ถูกค้นพบในเดือนเมษายนโดยนักวิจัยที่ Dutch Institute for Vulnerability Disclosure (DIVD) ตาม DIVD พวกเขาเปิดเผยช่องโหว่ของ Kaseya หลังจากนั้นไม่นานทําให้ บริษัท ซอฟต์แวร์สามารถปล่อยแพตช์เพื่อแก้ไขช่องโหว่จํานวนมากก่อนที่จะถูกนําไปใช้ในทางที่ผิด น่าเสียดายที่ในขณะที่ DIVD ยกย่อง Kaseya สําหรับการตอบสนองที่ตรงจุดและตรงเวลาต่อการเปิดเผยผู้ประสงค์ร้ายสามารถใช้ช่องโหว่ที่ไม่มีการปะในการโจมตีแรนซัมแวร์ของพวกเขา
ช่องโหว่ที่เปิดเผยต่อ Kaseya โดย DIVD ในเดือนเมษายนมีดังต่อไปนี้:
- CVE-2021-30116 – ข้อมูลประจําตัวรั่วไหลและข้อบกพร่องทางตรรกะทางธุรกิจได้รับการแก้ไขในเดือนกรกฎาคม 11 แพทช์
- CVE-2021-30117 – ช่องโหว่การฉีด SQL ได้รับการแก้ไขในเดือนพฤษภาคมแพทช์ที่ 8
- CVE-2021-30118 – ช่องโหว่การเรียกใช้โค้ดจากระยะไกล ได้รับการแก้ไขในแพทช์วันที่ 10 เมษายน (v9.5.6) (v9.5.6)
- CVE-2021-30119 – ช่องโหว่ของสคริปต์ข้ามไซต์ได้รับการแก้ไขในแพทช์ 11 กรกฎาคม
- CVE-2021-30120 – บายพาส 2FA ได้รับการแก้ไขในเดือนกรกฎาคม 11 แพทช์
- CVE-2021-30121 – ช่องโหว่การรวมแฟ้มภายในเครื่อง ได้รับการแก้ไขในแพทช์ 8 พฤษภาคม
- CVE-2021-30201 – ช่องโหว่ของเอนทิตีภายนอก XML ที่ได้รับการแก้ไขในแพทช์ 8 พฤษภาคม
การไม่แก้ไขช่องโหว่ 3 รายการตรงเวลาทําให้ REvil สามารถใช้ช่องโหว่เหล่านี้สําหรับการโจมตีขนาดใหญ่ที่ส่งผลกระทบต่อผู้ให้บริการที่มีการจัดการ 60 รายโดยใช้ VSA และลูกค้าธุรกิจ 1500 ราย ทันทีที่ Kaseya สังเกตเห็นสิ่งที่เกิดขึ้นมันเตือนลูกค้า VSA ในสถานที่ให้ปิดเซิร์ฟเวอร์ของพวกเขาทันทีจนกว่าจะเปิดตัวแพตช์ น่าเสียดายที่หลาย บริษัท ยังคงตกเป็นเหยื่อของการโจมตีแรนซัมแวร์ซึ่งผู้กระทําผิดเรียกร้องค่าไถ่สูงถึง $ 5 ล้าน ต่อมาแก๊ง REvil ได้เสนอตัวถอดรหัสสากลในราคา 70 ล้านดอลลาร์ซึ่งเป็นความต้องการเรียกค่าไถ่ที่ใหญ่ที่สุดเท่าที่เคยมีมา
การปรับปรุง VSA 9.5.7a (9.5.7.2994) แก้ไขช่องโหว่ที่ใช้ในระหว่างการโจมตีแรนซัมแวร์ REvil
เมื่อวันที่ 11 กรกฎาคม Kaseya VSA 9.5.7a (9.5.7.2994) patch ได้เปิดตัวเพื่อแก้ไขช่องโหว่ที่เหลือซึ่งใช้ในการโจมตีแรนซัมแวร์
การปรับปรุง VSA 9.5.7a (9.5.7.2994) แพทช์ต่อไปนี้:
- ข้อมูลประจําตัวรั่วไหลและข้อบกพร่องทางตรรกะทางธุรกิจ: CVE-2021-30116
- ช่องโหว่ของการเขียนสคริปต์ข้ามไซต์: CVE-2021-30119
- บายพาส 2FA: CVE-2021-30120
- แก้ไขปัญหาที่ค่าสถานะที่ปลอดภัยไม่ได้ถูกใช้สําหรับคุกกี้เซสชันของพอร์ทัลผู้ใช้
- แก้ไขปัญหาที่การตอบสนอง API บางอย่างจะมีแฮชรหัสผ่านซึ่งอาจเปิดเผยรหัสผ่านที่อ่อนแอใด ๆ เพื่อโจมตีด้วยกําลังดุร้าย ขณะนี้ค่ารหัสผ่านถูกมาสก์อย่างสมบูรณ์แล้ว
- แก้ไขช่องโหว่ที่อาจทําให้อัปโหลดไฟล์ไปยังเซิร์ฟเวอร์ VSA โดยไม่ได้รับอนุญาต
อย่างไรก็ตาม Kaseya เตือนว่าเพื่อหลีกเลี่ยงปัญหาใด ๆ เพิ่มเติม On Premises VSA Startup Readiness Guide ควรปฏิบัติตาม ” ”
ก่อนที่ผู้ดูแลระบบจะดําเนินการคืนค่าการเชื่อมต่อเต็มรูปแบบระหว่างเซิร์ฟเวอร์ Kaseya VSA และตัวแทนที่ปรับใช้พวกเขาควรทําสิ่งต่อไปนี้:
- ตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ VSA ของคุณถูกแยกออก
- ตรวจสอบระบบสําหรับตัวชี้วัดการประนีประนอม (IOC)
- แก้ไขระบบปฏิบัติการของเซิร์ฟเวอร์ VSA
- การใช้การเขียน URL ใหม่เพื่อควบคุมการเข้าถึง VSA ผ่าน IIS
- ติดตั้งตัวแทน FireEye
- เอาสคริปต์/งานที่ค้างอยู่ออก
แก๊ง REvil ดูเหมือนจะมืดไปแล้ว
แก๊งแรนซัมแวร์ REvil ถูกระบุว่าเป็นผู้กระทําผิดที่อยู่เบื้องหลังการโจมตีอย่างรวดเร็ว หลังจากเสนอตัวถอดรหัสสากลในราคา $ 70 ล้านพวกเขาลดราคาเป็น $ 50 ล้าน ตอนนี้ปรากฏว่าโครงสร้างพื้นฐานและเว็บไซต์ของ REvil ได้รับการดําเนินการแบบออฟไลน์แม้ว่าเหตุผลจะไม่ชัดเจนทั้งหมด โครงสร้างพื้นฐานของ REvil ประกอบด้วยเว็บไซต์ทั้งที่ชัดเจนและมืดที่ใช้สําหรับวัตถุประสงค์เช่นการรั่วไหลของข้อมูลและการเจรจาต่อรองค่าไถ่ อย่างไรก็ตามเว็บไซต์ไม่สามารถเข้าถึงได้อีกต่อไป
ยังไม่ชัดเจนว่า REvil ตัดสินใจที่จะปิดโครงสร้างพื้นฐานเนื่องจากเหตุผลทางเทคนิคหรือเนื่องจากการตรวจสอบที่เพิ่มขึ้นโดยหน่วยงานบังคับใช้กฎหมายและรัฐบาลสหรัฐ เป็นที่ทราบกันดีว่า REvil ดําเนินงานจากรัสเซียและประธานาธิบดี Biden ของสหรัฐฯได้พูดคุยกับประธานาธิบดีปูตินของรัสเซียเกี่ยวกับการโจมตีเตือนว่าหากรัสเซียไม่ดําเนินการสหรัฐฯจะ ไม่ว่านั่นจะเกี่ยวข้องกับการปิดระบบที่ชัดเจนของ REvil ยังไม่ชัดเจนหรือไม่