Yazılım satıcısı Kaseya, son REvil fidye yazılımı saldırısında kullanılan VSA (Sanal Sistem Yöneticisi) sıfır gün güvenlik açığını düzelten bir güvenlik güncelleştirmesi yayımladı. Yama, 60’tan fazla yönetilen hizmet sağlayıcısının (MSP) ve 1500 müşterilerinin, kaynağı kısa süre sonra Kaseya’nın VSA’sı olduğu belirlenen bir fidye yazılımı saldırısından etkilenmesinden bir haftadan fazla bir süre sonra geliyor. 
Şu anda azılı REvil çetesi olarak bilinen saldırganlar, kaseya’nın VSA uzaktan izleme ve yönetim yazılım paketindeki bir güvenlik açığını kullanarak kötü amaçlı bir yükü yazılım tarafından yönetilen ana bilgisayarlar aracılığıyla dağıttı. Sonuç, fidye yazılımı saldırılarından etkilenen 60 MSP ve 1500’den fazla şirket oldu.
Kaseya’nın VSA’sındaki güvenlik açıkları Nisan ayında (DIVD) araştırmacıları tarafından Dutch Institute for Vulnerability Disclosure keşfedildi. DIVD’ye göre, güvenlik açıklarını kısa bir süre sonra Kaseya’ya açıkladılar ve yazılım şirketinin bir kısmını kötüye kullanılmadan önce çözmek için yamalar yayınlamasına izin verdiler. Ne yazık ki, DIVD Kaseya’yı açıklamaya yerinde ve zamanında verdikleri yanıt için överken, kötü niyetli taraflar fidye yazılımı saldırılarında düzeltme eki yüklenmemiş güvenlik açıklarını kullanabildiler.
Nisan ayında DIVD tarafından Kaseya’ya açıklanan güvenlik açıkları şunlardır:
- CVE-2021-30116 – 11 Temmuz düzeltme ekinde çözümlenen kimlik bilgileri sızıntısı ve iş mantığı kusuru.
- CVE-2021-30117 – 8 Mayıs’ta çözülen bir SQL ekleme güvenlik açığı.
- CVE-2021-30118 – 10 Nisan düzeltme ekinde çözülen bir Uzaktan Kod Yürütme güvenlik açığı. (v9.5.6)
- CVE-2021-30119 – Siteler Arası Komut Dosyası Çalıştırma güvenlik açığı, 11 Temmuz düzeltme ekinde giderildi.
- CVE-2021-30120 – 2FA bypass, Temmuz 11 yama çözüldü.
- CVE-2021-30121 – Yerel Dosya Ekleme güvenlik açığı, 8 Mayıs’ta giderildi.
- CVE-2021-30201 – 8 Mayıs düzeltme ekinde çözümlenen bir XML Dış Varlık güvenlik açığı.
Güvenlik açıklarından 3’üne zamanında yamaılamaması, REvil’in VSA’yı kullanan 60 yönetilen hizmet sağlayıcısını ve 1500 iş müşterisini etkileyen büyük ölçekli bir saldırı için bunları kullanmasına olanak sağladı. Kaseya neler olduğunu fark eder etmez, şirket içi VSA müşterilerini bir yama yayınlayana kadar sunucularını derhal kapatmaları konusunda uyardı. Ne yazık ki, birçok şirket hala failleri 5 milyon dolara kadar fidye talep eden bir fidye yazılımı saldırısının kurbanı oldu. REvil çetesi daha sonra 70 milyon dolara evrensel bir şifre çözücü teklif etti, bu şimdiye kadarki en büyük fidye talebiydi.
VSA 9.5.7a (9.5.7.2994) güncellemesi, REvil fidye yazılımı saldırısı sırasında kullanılan güvenlik açıklarını giderir
11 Temmuz’da Kaseya, VSA 9.5.7a (9.5.7.2994) patch fidye yazılımı saldırısında kullanılan kalan güvenlik açıklarını düzeltmek için yayınladı.
VSA 9.5.7a (9.5.7.2994) güncelleştirmesi aşağıdakileri düzeltme eki uygulamaz:
- Kimlik bilgileri sızıntısı ve iş mantığı kusuru: CVE-2021-30116
- Siteler Arası Komut Dosyası Çalıştırma güvenlik açığı: CVE-2021-30119
- 2FA bypass: CVE-2021-30120
- Kullanıcı Portalı oturum tanımlama bilgileri için güvenli bayrağın kullanılmamasına neden olan sorun çözüldü.
- Belirli API yanıtlarının parola karma içermesine ve zayıf parolaların kaba kuvvet saldırısına maruz kalma olasılığına neden olan bir sorun giderildi. Parola değeri artık tamamen maskelenmiştir.
- Dosyaların VSA sunucusuna yetkisiz yüklenmesine izin verebilecek bir güvenlik açığı düzeltildi.
Ancak Kaseya, daha fazla sorun yaşamamak için ” ” u takip edilmesi gerektiği konusunda On Premises VSA Startup Readiness Guide uyarıyor.
Yöneticiler Kaseya VSA sunucuları ve dağıtılan aracılar arasındaki tam bağlantıyı geri yüklemeye devam etmeden önce aşağıdakileri yapmalıdır:
- VSA sunucunuzun yalıtılmış olduğundan emin olun.
- Uzlaşma Göstergeleri (IOC) için Sistemi Kontrol Edin.
- VSA Sunucularının İşletim Sistemlerini Düzeltme Eki Uygulama.
- IIS aracılığıyla VSA’ya erişimi denetlemek için URL Rewrite’ı kullanma.
- FireEye Aracısı’ni yükleyin.
- Bekleyen Komut Dosyalarını/İşleri Kaldırın.
REvil çetesi karanlığa gömüldü.
REvil fidye yazılımı çetesi oldukça hızlı bir şekilde saldırının arkasındaki failler olarak tanımlandı. Başlangıçta 70 milyon dolara evrensel bir şifre çözücü sunduktan sonra fiyatı 50 milyon dolara düşürdüler. Şimdi REvil’in altyapısının ve web sitelerinin çevrimdışı olduğu görülüyor, ancak nedenleri tam olarak açık değil. REvil’in altyapısı, veri sızdırmak ve fidyeyi müzakere etmek gibi amaçlarla kullanılan hem açık hem de karanlık web sitelerinden oluşur. Ancak, sitelere artık erişilemez.
REvil’in altyapısını teknik nedenlerle mi yoksa kolluk kuvvetleri ve ABD hükümeti tarafından artan inceleme nedeniyle mi kapatmaya karar verdiği henüz belli değil. REvil’in Rusya’dan operasyon yaptığı biliniyor VE ABD Başkanı Biden, Rusya’nın harekete geçmemesi halinde ABD’nin yapacağı uyarısında bulunan Rusya Devlet Başkanı Putin ile saldırılar hakkında görüşmelerde bulunuyor. Bunun REvil’in bariz kapanmasıyla bir ilgisi olup olmadığı henüz belli değil.