أصدرت بائع البرمجيات Kaseya تحديثا أمنيا أن بقع VSA (مسؤول النظام الافتراضي) ثغرة أمنية في اليوم صفر المستخدمة في الهجوم الأخير REvil انتزاع الفدية. التصحيح يأتي بعد أكثر من أسبوع من أكثر من 60 مقدمي الخدمات المدارة (MSP) و 1500 من عملائها تأثرت بهجوم انتزاع الفدية، والتي سرعان ما تم تحديد مصدرها ليكون VSA كاسيا. Kaseya patches VSA vulnerabilities used in recent REvil ransomware attack

استخدم المهاجمون ، المعروفون الآن باسم عصابة REvil سيئة السمعة ، ثغرة أمنية في حزمة برامج المراقبة والإدارة عن بعد VSA من Kaseya لتوزيع حمولة ضارة من خلال المضيفين الذين يديرهم البرنامج. وكانت النتيجة النهائية 60 MSPs وأكثر من 1500 شركة المتضررة من هجمات انتزاع الفدية.

تم اكتشاف نقاط الضعف في VSA كاسيا في نيسان/أبريل من قبل الباحثين في Dutch Institute for Vulnerability Disclosure (DIVD). وفقا لDIVD، كشفوا عن نقاط الضعف لكاسيا بعد فترة وجيزة، مما يسمح لشركة البرمجيات للافراج عن بقع لحل عدد منهم قبل أن يمكن أن يساء استخدامها. لسوء الحظ ، في حين يشيد DIVD Kaseya لردهم على نقطة وفي الوقت المناسب للكشف ، والأطراف الخبيثة كانت قادرة على استخدام نقاط الضعف unpatched في هجومهم انتزاع الفدية.

نقاط الضعف التي كشفت عنها مدينة كاسيا في أبريل هي:

  • CVE-2021-30116 – تسرب بيانات الاعتماد وعيب منطق العمل، تم حلها في تصحيح 11 يوليو.
  • CVE-2021-30117 – ثغرة أمنية حقن SQL، حلها في التصحيح 8 مايو.
  • CVE-2021-30118 – مشكلة عدم حصانة تنفيذ التعليمات البرمجية عن بعد، تم حلها في تصحيح 10 أبريل. (v9.5.6)
  • CVE-2021-30119 – مشكلة عدم حصانة برمجة المواقع المشتركة، تم حلها في تصحيح 11 يوليو.
  • CVE-2021-30120 – 2FA تجاوز، حلها في التصحيح 11 يوليو.
  • CVE-2021-30121 – مشكلة عدم حصانة تضمين ملف محلي، تم حلها في تصحيح 8 مايو.
  • CVE-2021-30201 – مشكلة عدم حصانة وحدة خارجية XML، تم حلها في تصحيح 8 مايو.

فشل في تصحيح 3 من نقاط الضعف في الوقت المحدد سمح REvil لاستخدامها لهجوم واسع النطاق التي أثرت على 60 مقدمي الخدمات المدارة باستخدام VSA وعملائها الأعمال 1500. بمجرد أن لاحظت Kaseya ما كان يحدث ، حذرت عملاء VSA الداخليين من إغلاق خوادمهم على الفور حتى تصدر تصحيحا. لسوء الحظ، العديد من الشركات لا تزال ضحية لهجوم انتزاع الفدية الذي طالب الجناة تصل إلى 5 ملايين دولار كفدية. عرضت عصابة REvil في وقت لاحق فك تشفير عالمي مقابل 70 مليون دولار ، وهو أكبر طلب فدية على الإطلاق.

يعمل تحديث VSA 9.5.7a (9.5.7.2994) على إصلاح نقاط الضعف المستخدمة أثناء هجوم برامج الفدية REvil

في 11 يوليو، أصدرت كاسيا VSA 9.5.7a (9.5.7.2994) patch لإصلاح نقاط الضعف المتبقية التي استخدمت في هجوم انتزاع الفدية.

تصحيحات التحديث VSA 9.5.7a (9.5.7.2994) ما يلي:

  • تسرب أوراق الاعتماد وعيب منطق الأعمال: CVE-2021-30116
  • مشكلة عدم حصانة البرمجة النصية عبر المواقع: CVE-2021-30119
  • تجاوز 2FA: CVE-2021-30120
  • إصلاح مشكلة حيث لم يتم استخدام العلامة الآمنة لملفات تعريف الارتباط الخاصة بجلسة عمل “مدخل المستخدم”.
  • إصلاح مشكلة حيث بعض الاستجابات API تحتوي على تجزئة كلمة مرور، مما قد يعرض أي كلمات مرور ضعيفة لهجوم القوة الغاشمة. يتم الآن إخفاء قيمة كلمة المرور تماما.
  • إصلاح مشكلة عدم حصانة قد تسمح بتحميل الملفات غير المصرح به إلى خادم VSA.

بيد ان كاسيا يحذر من انه لتجنب المزيد من القضايا On Premises VSA Startup Readiness Guide ” يجب اتباعها ” .

قبل المتابعة المسؤولين لاستعادة الاتصال الكامل بين خادم (ملقمات) KASEYA VSA و وكلاء المنشورة، يجب القيام بما يلي:

  • تأكد من عزل ملقم VSA.
  • تحقق من نظام مؤشرات التسوية (IOC).
  • تصحيح أنظمة التشغيل من ملقمات VSA.
  • استخدام إعادة كتابة URL للتحكم في الوصول إلى VSA من خلال IIS.
  • تثبيت عامل FireEye.
  • إزالة البرامج النصية المعلقة/الوظائف.

عصابة REvil يبدو أنها أصبحت مظلمة

تم التعرف على عصابة REvil انتزاع الفدية بسرعة كبيرة على أنها الجناة وراء الهجوم. بعد أن عرضوا في البداية فك تشفير عالمي مقابل 70 مليون دولار ، خفضوا السعر إلى 50 مليون دولار. يبدو الآن أن البنية التحتية ومواقع REvil قد اتخذت حاليا ، على الرغم من أن الأسباب ليست واضحة تماما. تتكون البنية التحتية ل REvil من مواقع ويب واضحة ومظلمة تستخدم لأغراض مثل تسريب البيانات والتفاوض على الفدية. ومع ذلك، لم يعد من الممكن الوصول إلى المواقع.

ولم يتضح بعد ما اذا كانت اريفل قررت اغلاق بنيتها التحتية لاسباب فنية او بسبب زيادة التدقيق من جانب قوات تنفيذ القانون والحكومة الامريكية . ومن المعروف أن ريفل يعمل من روسيا، ويجري الرئيس الأمريكي بايدن محادثات مع الرئيس الروسي بوتين حول الهجمات، محذرا من أنه إذا لم تتخذ روسيا أي إجراء، فإن الولايات المتحدة سوف تفعل ذلك. ولم يتضح بعد ما إذا كان لذلك أي علاقة بإغلاق شركة REvil الواضح.

أضف تعليق