Nuove patch per gli attacchi ransomware
Kaseya è stata informata delle vulnerabilità nell'aprile 2021, ma non è riuscita a risolvere il problema in tempo.
Il fornitore di soluzioni di monitoraggio e gestione remota, Kaseya VSA, ha rilasciato patch per tre vulnerabilità critiche sfruttate dalla banda del ransomware REvil per lanciare un devastante attacco ransomware all'inizio di luglio 2021 .
Nell'aprile 2021, l'Istituto olandese per la divulgazione delle vulnerabilità/DIVD ha identificato sette vulnerabilità nel software Kaseya e ha informato la società. Tuttavia, Kaseya non è riuscito a risolvere il problema consentendo al ransomware Revil di sfruttare e prendere di mira i suoi server.
Finora, Kaseya ha corretto la maggior parte delle vulnerabilità del servizio VSA SaaS, ma non ha ancora rilasciato una patch per la versione locale di VSA. A tre dei sette numeri è stato assegnato un identificatore CVE. Non è ancora chiaro quale delle sette vulnerabilità sia stata sfruttata. Secondo DIVD , l'attacco ransomware ha coinvolto due difetti, uno dei quali è stato segnalato dai suoi ricercatori.
A proposito di difetti e patch
L'aggiornamento di emergenza di Kaseya per la versione VSA 9.5.7a/9.5.7.2994 ha risolto tre problemi, classificati come CVE-2021-30116 , CVE-2021-30119 e CVE-2021-30120 . I tre difetti corretti erano collegati a perdite di credenziali, un difetto di scripting tra siti, un difetto di logica aziendale e un bypass 2FA.
Le altre quattro vulnerabilità sono state precedentemente corrette in diverse versioni del software VSA. uno dei quattro difetti è un difetto di SQL injection tracciato come CVE-2021-30117 , l'altro è un bug di esecuzione di codice remoto classificato come CVE-2021-30118 , il successivo è una vulnerabilità di inclusione di file locale, CVE-2021-30121, e una vulnerabilità di entità esterna XML tracciata come CVE-2021-30201 .
Secondo Huntress, una società di rilevamento e risposta gestita che ha monitorato l'attacco e ha creato un exploit proof-of-concept per i difetti utilizzati nell'attacco, la patch può impedire lo sfruttamento. Il loro PoC è progettato per sfruttare il caricamento arbitrario di file, l'autenticazione, il bypass e le vulnerabilità di iniezione di comandi. Tuttavia, gli aggressori non hanno consegnato un impianto con il loro exploit.
Oltre alle patch effettive, Kaseya ha anche rilasciato uno strumento per i client locali. Possono utilizzare questo strumento per cancellare tutte le procedure accumulate prima di riavviare il proprio VSA. Inoltre, l'azienda ha rilasciato runbook per aiutare i clienti a prepararsi per il ripristino dei servizi e l'implementazione delle patch.
Attacco ransomware mirato alla piattaforma VSA di Kaseya
Come riportato da Hackread.com , gli hacker hanno utilizzato il ransomware REvil per prendere di mira la gestione IT basata su cloud di Kaseya e il monitoraggio remoto VSA, secondo quanto affermato dalla società. Tuttavia, la società afferma che l'attacco ha colpito circa 40 clienti in sede.
Inoltre, il software è utilizzato principalmente da circa 1.500 Managed Service Provider. Pertanto, la compromissione dei server VSA con connessione a Internet ha fornito agli hacker un punto di ingresso per prendere di mira i propri clienti ed esporli all'attacco.
Il 2 luglio, Kaseya ha chiuso il suo prodotto VSA dopo aver rilevato un attacco ransomware. Gli hacker hanno sfruttato le vulnerabilità 0-day in VSA on-premise per infettare gli MSP e i loro clienti utilizzando VSA. Kaseya ha anche interrotto i servizi SaaS come misura precauzionale. Lunedì mattina, i servizi SaaS di Kaseya sono stati ripristinati per circa il 95% dei suoi clienti.
