Ο προμηθευτής λογισμικού Kaseya έχει κυκλοφορήσει μια ενημερωμένη έκδοση ασφαλείας που επιδιορθώνει την ευπάθεια μηδενικής ημέρας VSA (Διαχειριστής εικονικού συστήματος) που χρησιμοποιείται στην πρόσφατη επίθεση ransomware REvil. Το μπάλωμα έρχεται περισσότερο από μια εβδομάδα μετά από πάνω από 60 διαχειριζόμενους παρόχους υπηρεσιών (MSP) και 1500 από τους πελάτες τους επηρεάστηκαν από μια επίθεση ransomware, η πηγή της οποίας σύντομα αναγνωρίστηκε ότι είναι το VSA της Kaseya.
Οι επιτιθέμενοι, τώρα γνωστό ότι είναι η διαβόητη συμμορία REvil, χρησιμοποίησαν μια ευπάθεια στο πακέτο λογισμικού απομακρυσμένης παρακολούθησης και διαχείρισης VSA της Kaseya για να διανείμουν ένα κακόβουλο ωφέλιμο φορτίο μέσω κεντρικών υπολογιστών που διαχειρίζονται από το λογισμικό. Το τελικό αποτέλεσμα ήταν 60 MSPs και πάνω από 1500 εταιρείες που επηρεάστηκαν από επιθέσεις ransomware.
Τα τρωτά σημεία στο VSA της Kaseya ανακαλύφθηκαν τον Απρίλιο από ερευνητές στο Dutch Institute for Vulnerability Disclosure (DIVD). Σύμφωνα με το DIVD, αποκάλυψαν τα τρωτά σημεία στην Kaseya αμέσως μετά, επιτρέποντας στην εταιρεία λογισμικού να κυκλοφορήσει ενημερώσεις κώδικα για να επιλύσει ορισμένα από αυτά πριν γίνουν κατάχρηση. Δυστυχώς, ενώ το DIVD επαινεί την Kaseya για την έγκαιρη και έγκαιρη ανταπόκρισή τους στην αποκάλυψη, τα κακόβουλα μέρη ήταν σε θέση να χρησιμοποιήσουν τα μη ανταπληρωμένα τρωτά σημεία στην επίθεση ransomware τους.
Τα τρωτά σημεία που αποκαλύφθηκαν στην Kaseya από την DIVD τον Απρίλιο είναι τα εξής:
- CVE-2021-30116 – Διαρροή διαπιστευτηρίων και ελάττωμα επιχειρηματικής λογικής, που επιλύθηκε στις 11 Ιουλίου.
- CVE-2021-30117 – Μια ευπάθεια έγχυσης SQL, που επιλύθηκε στις 8 Μαΐου patch.
- CVE-2021-30118 – Μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα, που επιλύθηκε στις 10 Απριλίου. (v9.5.6)
- CVE-2021-30119 – Μια ευπάθεια δέσμης ενεργειών μεταξύ τοποθεσιών, η οποία επιλύθηκε στις 11 Ιουλίου.
- CVE-2021-30120 – παράκαμψη 2FA, που επιλύθηκε στις 11 Ιουλίου patch.
- CVE-2021-30121 – Μια ευπάθεια συμπερίληψης τοπικού αρχείου, που επιλύθηκε στις 8 Μαΐου.
- CVE-2021-30201 – Ένα θέμα ευπάθειας εξωτερικής οντότητας XML, που επιλύθηκε στις 8 Μαΐου.
Η αποτυχία έγκαιρης ενημέρωσης 3 από τις ευπάθειες επέτρεψε στο REvil να τα χρησιμοποιήσει για μια μεγάλης κλίμακας επίθεση που επηρέασε 60 διαχειριζόμενους παρόχους υπηρεσιών που χρησιμοποιούσαν το VSA και τους 1500 επιχειρηματικούς πελάτες τους. Μόλις η Kaseya παρατήρησε τι συνέβαινε, προειδοποίησε τους πελάτες VSA να κλείσουν αμέσως τους διακομιστές τους μέχρι να κυκλοφορήσει ένα patch. Δυστυχώς, πολλές εταιρείες εξακολουθούν να είναι θύματα μιας επίθεσης ransomware των οποίων οι δράστες απαίτησαν έως και 5 εκατομμύρια δολάρια σε λύτρα. Η συμμορία REvil αργότερα προσέφερε έναν καθολικό αποκρυπτογραφητή για 70 εκατομμύρια δολάρια, τη μεγαλύτερη απαίτηση λύτρων που έχει γίνει ποτέ.
Η ενημερωμένη έκδοση VSA 9.5.7a (9.5.7.2994) διορθώνει ευπάθειες που χρησιμοποιούνται κατά τη διάρκεια της επίθεσης ransomware REvil
Στις 11 Ιουλίου, η Kaseya κυκλοφόρησε το VSA 9.5.7a (9.5.7.2994) patch για να διορθώσει τις υπόλοιπες ευπάθειες που χρησιμοποιήθηκαν στην επίθεση ransomware.
Η ενημερωμένη έκδοση VSA 9.5.7a (9.5.7.2994) ενημερώνει τα εξής:
- Διαρροή διαπιστευτηρίων και ελάττωμα επιχειρηματικής λογικής: CVE-2021-30116
- Ευπάθεια δέσμης ενεργειών μεταξύ τοποθεσιών: CVE-2021-30119
- Παράκαμψη 2FA: CVE-2021-30120
- Επιδιορθώθηκε ένα πρόβλημα κατά το οποίο η ασφαλής σημαία δεν χρησιμοποιούνταν για cookies περιόδου λειτουργίας πύλης χρήστη.
- Διορθώθηκε ένα πρόβλημα όπου ορισμένες απαντήσεις API θα περιείχαν κατακεραπή κωδικού πρόσβασης, εκθέτοντας ενδεχομένως τυχόν αδύναμους κωδικούς πρόσβασης σε επίθεση ωμής βίας. Η τιμή του κωδικού πρόσβασης είναι πλέον πλήρως καλυμμένη.
- Διορθώθηκε ένα θέμα ευπάθειας που θα μπορούσε να επιτρέψει τη μη εξουσιοδοτημένη αποστολή αρχείων στο διακομιστή VSA.
Ωστόσο, ο Kaseya προειδοποιεί ότι για να αποφευχθούν άλλα ζητήματα, θα πρέπει να ακολουθηθεί το » On Premises VSA Startup Readiness Guide .
Πριν οι διαχειριστές προχωρήσουν στην επαναφορά της πλήρους συνδεσιμότητας μεταξύ διακομιστών ή διακομιστών Kaseya VSA και ανεπτυγμένων παραγόντων, θα πρέπει να κάνουν τα εξής:
- Βεβαιωθείτε ότι ο διακομιστής VSA είναι απομονωμένος.
- Ελέγξτε το σύστημα για δείκτες συμβιβασμού (ΔΟΕ).
- Διορθώστε τα λειτουργικά συστήματα των διακομιστών VSA.
- Χρήση της διεύθυνσης URL Επανεγγραφή για τον έλεγχο της πρόσβασης σε VSA μέσω των IIS.
- Εγκαταστήστε τον παράγοντα FireEye.
- Κατάργηση εκκρεμών δεσμών ενεργειών/εργασιών.
Η συμμορία REvil φαίνεται να έχει σκοτεινιάσει.
Η συμμορία ransomware REvil αναγνωρίστηκε πολύ γρήγορα ως οι δράστες πίσω από την επίθεση. Αφού αρχικά πρόσφεραν έναν καθολικό αποκρυπτογραφητή για 70 εκατομμύρια δολάρια, μείωσαν την τιμή στα 50 εκατομμύρια δολάρια. Φαίνεται τώρα ότι η υποδομή και οι ιστότοποι της REvil έχουν αποσυνδεθεί, αν και οι λόγοι δεν είναι απολύτως σαφείς. Η υποδομή του REvil αποτελείται τόσο από σαφείς όσο και από σκοτεινές ιστοσελίδες που χρησιμοποιούνται για σκοπούς όπως η διαρροή δεδομένων και η διαπραγμάτευση των λύτρων. Ωστόσο, οι ιστότοποι δεν είναι πλέον προσβάσιμοι.
Δεν είναι ακόμα σαφές εάν η REvil αποφάσισε να κλείσει την υποδομή της για τεχνικούς λόγους ή λόγω του αυξημένου ελέγχου από τις αρχές επιβολής του νόμου και την κυβέρνηση των ΗΠΑ. Ο REvil είναι γνωστό ότι δρα από τη Ρωσία και ο Πρόεδρος των ΗΠΑ Μπάιντεν βρίσκεται σε συνομιλίες με τον Πρόεδρο της Ρωσίας Πούτιν για τις επιθέσεις, προειδοποιώντας ότι εάν η Ρωσία δεν αναλάβει δράση, οι ΗΠΑ θα το κάνουν. Το αν αυτό έχει να κάνει με το φαινομενικό κλείσιμο του REvil δεν είναι ακόμη σαφές.