Softwareleverancier Kaseya heeft een beveiligingsupdate uitgebracht die de VSA (Virtual System Administrator) zero-day kwetsbaarheid patcht die wordt gebruikt bij de recente REvil ransomware-aanval. De patch komt meer dan een week nadat meer dan 60 managed service providers (MSP) en 1500 van hun klanten werden getroffen door een ransomware-aanval, waarvan de bron al snel werd geïdentificeerd als Kaseya’s VSA.
Aanvallers, nu bekend als de beruchte REvil bende, gebruikten een kwetsbaarheid in Kaseya’s VSA remote monitoring en management softwarepakket om een kwaadaardige payload te verspreiden via hosts die worden beheerd door de software. Het eindresultaat was 60 MSP’s en meer dan 1500 bedrijven die werden getroffen door ransomware-aanvallen.
De kwetsbaarheden in Kaseya’s VSA werden in april ontdekt door onderzoekers van de Dutch Institute for Vulnerability Disclosure (DIVD). Volgens DIVD, ze onthulden de kwetsbaarheden aan Kaseya kort daarna, waardoor het softwarebedrijf patches vrij te geven om een aantal van hen op te lossen voordat ze kunnen worden misbruikt. Helaas, terwijl DIVD Kaseya prijst voor hun on-point en tijdige reactie op de openbaarmaking, konden kwaadwillende partijen de ongepatchte kwetsbaarheden gebruiken in hun ransomware-aanval.
De kwetsbaarheden bekendgemaakt aan Kaseya door DIVD in april zijn de volgende:
- CVE-2021-30116 – Een credentials lek en business logic fout, opgelost in juli 11 patch.
- CVE-2021-30117 – Een SQL-injectie kwetsbaarheid, opgelost in mei 8th patch.
- CVE-2021-30118 – Een kwetsbaarheid voor het uitvoeren van externe code, opgelost in de patch van 10 april. (v9.5.6)
- CVE-2021-30119 – Een cross site scripting kwetsbaarheid, opgelost in juli 11 patch.
- CVE-2021-30120 – 2FA bypass, opgelost in juli 11 patch.
- CVE-2021-30121 – Een kwetsbaarheid voor lokale bestandsinsluiting, opgelost in de patch van 8 mei.
- CVE-2021-30201 – Een xml externe entiteit kwetsbaarheid, opgelost in mei 8th patch.
Door 3 van de kwetsbaarheden niet op tijd te patchen, kon REvil ze gebruiken voor een grootschalige aanval die 60 managed service providers beïnvloedde die VSA en hun 1500 zakelijke klanten gebruikten. Zodra Kaseya merkte wat er aan de hand was, waarschuwde het on-premise VSA-klanten om hun servers onmiddellijk af te sluiten totdat het een patch uitbracht. Helaas werden veel bedrijven nog steeds het slachtoffer van een ransomware-aanval waarvan de daders tot $ 5 miljoen losgeld eisten. De REvil bende bood later een universele decryptor voor $70 miljoen, de grootste losgeld eis ooit.
De VSA 9.5.7a (9.5.7.2994) update lost kwetsbaarheden op die worden gebruikt tijdens de REvil ransomware aanval
Op 11 juli, Kaseya vrijgegeven de VSA 9.5.7a (9.5.7.2994) patch om de resterende kwetsbaarheden die werden gebruikt in de ransomware aanval op te lossen.
De VSA 9.5.7a (9.5.7.2994) update patches het volgende:
- Referenties lekken en zakelijke logica fout: CVE-2021-30116
- Cross-Site Scripting kwetsbaarheid: CVE-2021-30119
- 2FA bypass: CVE-2021-30120
- Er is een probleem opgelost waarbij de beveiligde vlag niet werd gebruikt voor sessiecookies van gebruikersportalen.
- Er is een probleem opgelost waarbij bepaalde API-antwoorden een wachtwoord-hash zouden bevatten, waardoor mogelijk zwakke wachtwoorden worden blootgesteld aan brute force-aanvallen. De wachtwoordwaarde is nu volledig gemaskeerd.
- Er is een beveiligingslek opgelost waardoor bestanden niet zonder toestemming naar de VSA-server konden worden geüpload.
Kaseya waarschuwt echter dat om nog meer problemen te voorkomen, de ” On Premises VSA Startup Readiness Guide ” moet worden gevolgd.
Voordat beheerders doorgaan met het herstellen van de volledige connectiviteit tussen Kaseya VSA-server(s) en geïmplementeerde agents, moeten ze het volgende doen:
- Zorg ervoor dat uw VSA-server geïsoleerd is.
- Controleer systeem op compromisindicatoren (IOC).
- Patch de besturingssystemen van de VSA-servers.
- URL herschrijven gebruiken om de toegang tot VSA via IIS te beheren.
- Installeer FireEye Agent.
- Scripts/taken in behandeling verwijderen.
De REvil bende lijkt donker te zijn geworden.
De REvil ransomware bende werden vrij snel geïdentificeerd als de daders achter de aanval. Na aanvankelijk het aanbieden van een universele decryptor voor $ 70 miljoen, verlaagden ze de prijs tot $ 50 miljoen. Het lijkt er nu op dat de infrastructuur en websites van REvil offline zijn gehaald, hoewel de redenen niet helemaal duidelijk zijn. De infrastructuur van REvil bestaat uit zowel duidelijke als donkere websites die worden gebruikt voor doeleinden zoals het lekken van gegevens en het onderhandelen over het losgeld. De sites zijn echter niet meer bereikbaar.
Het is nog niet duidelijk of REvil heeft besloten om zijn infrastructuur te sluiten om technische redenen of vanwege de toegenomen controle door de wetshandhaving en de Amerikaanse overheid. REvil staat erom bekend dat hij vanuit Rusland opereert, en de Amerikaanse president Biden is in gesprek met de Russische president Poetin over de aanslagen en waarschuwt dat als Rusland geen actie onderneemt, de VS dat zullen doen. Of dat iets te maken heeft met de schijnbare shutdown van REvil is nog niet duidelijk.