Поставщик программного обеспечения Kaseya выпустил обновление безопасности, которое исправляет уязвимость нулевого дня VSA (Virtual System Administrator), используемую в недавней атаке вымогателей REvil. Патч появился более чем через неделю после того, как более 60 поставщиков управляемых услуг (MSP) и 1500 их клиентов пострадали от атаки вымогателей, источником которой вскоре была идентифицирована VSA Kaseya.
Злоумышленники, которые, как теперь известно, являются печально известной бандой REvil, использовали уязвимость в пакете программного обеспечения для удаленного мониторинга и управления VSA Kaseya для распространения вредоносной полезной нагрузки через хосты, управляемые программным обеспечением. Конечным результатом стало 60 MSP и более 1500 компаний, пострадавших от атак программ-вымогателей.
Уязвимости в VSA Касеи были обнаружены в апреле исследователями Dutch Institute for Vulnerability Disclosure из DIVD. Согласно DIVD, вскоре после этого они раскрыли уязвимости Kaseya, что позволило компании-разработчику программного обеспечения выпустить патчи для устранения некоторых из них, прежде чем они могут быть неправильно использованы. К сожалению, в то время как DIVD хвалит Kaseya за их своевременную реакцию на раскрытие информации, злоумышленники смогли использовать неисправленные уязвимости в своей атаке вымогателей.
Уязвимости, раскрытые Kaseya DIVD в апреле, следующие:
- CVE-2021-30116 — утечка учетных данных и ошибка бизнес-логики, устраненная в исправлении 11 июля.
- CVE-2021-30117 — уязвимость, связанная с внедрением кода SQL, устраненная в исправлении 8 мая.
- CVE-2021-30118 — уязвимость, связанная с удаленным выполнением кода, устраненная в исправлении 10 апреля. (v9.5.6)
- CVE-2021-30119 — уязвимость, связанная с межсайтовым сценарием, устранена в исправлении 11 июля.
- CVE-2021-30120 — обход 2FA, исправлено в исправлении 11 июля.
- CVE-2021-30121 — уязвимость, связанная с включением локальных файлов, устранена в исправлении 8 мая.
- CVE-2021-30201 — уязвимость, связанная с внешними сущностями XML, устранена в исправлении 8 мая.
Неспособность вовремя исправить 3 уязвимости позволила REvil использовать их для крупномасштабной атаки, которая затронула 60 поставщиков управляемых услуг, использующих VSA, и их 1500 бизнес-клиентов. Как только Kaseya заметила, что происходит, она предупредила локальных клиентов VSA немедленно закрыть свои серверы, пока не выпустят патч. К сожалению, многие компании все же стали жертвами атаки вымогателей, виновные которой потребовали выкуп в размере до 5 миллионов долларов. Позже банда REvil предложила универсальный дешифратор за 70 миллионов долларов, что является крупнейшим требованием выкупа.
Обновление VSA 9.5.7a (9.5.7.2994) исправляет уязвимости, использованные во время атаки вымогателей REvil
11 июля Kaseya выпустила VSA 9.5.7a (9.5.7.2994) patch для исправления оставшихся уязвимостей, которые были использованы в атаке вымогателей.
Обновление VSA 9.5.7a (9.5.7.2994) исправляет следующее:
- Утечка учетных данных и ошибка бизнес-логики: CVE-2021-30116
- Уязвимость, связанная с межсайтовым сценарием: CVE-2021-30119
- Обход 2FA: CVE-2021-30120
- Исправлена ошибка, из-за которой флаг безопасности не использовался для файлов cookie сеанса пользовательского портала.
- Исправлена проблема, из-за которой некоторые ответы API содержали хэш пароля, потенциально подвергая любые слабые пароли атаке методом перебора. Значение пароля теперь полностью замаскировано.
- Исправлена уязвимость, которая могла привести к несанкционированной загрузке файлов на сервер VSA.
Тем не менее, Касея предупреждает, что для того, чтобы избежать каких-либо дополнительных проблем, On Premises VSA Startup Readiness Guide следует соблюдать « ».
Прежде чем администраторы приступают к восстановлению полного подключения между серверами Kaseya VSA и развернутыми агентами, они должны выполнить следующие действия:
- Убедитесь, что сервер VSA изолирован.
- Проверьте систему на наличие индикаторов компрометации (IOC).
- Истереть операционные системы серверов VSA.
- Использование переопределения URL-адресов для управления доступом к VSA через IIS.
- Установите агент FireEye.
- Удаление ожидающих сценариев/заданий.
Банда REvil, похоже, потемнеет
Банда вымогателей REvil была довольно быстро идентифицирована как виновные в нападении. Первоначально предложив универсальный дешифратор за 70 миллионов долларов, они снизили цену до 50 миллионов долларов. Теперь кажется, что инфраструктура и веб-сайты REvil были отключены, хотя причины не совсем ясны. Инфраструктура REvil состоит как из прозрачных, так и из темных веб-сайтов, которые используются для таких целей, как утечка данных и переговоры о выкупе. Однако сайты больше не доступны.
Пока неясно, решил ли REvil закрыть свою инфраструктуру по техническим причинам или из-за повышенного контроля со стороны правоохранительных органов и правительства США. Известно, что REvil действует из России, и президент США Байден ведет переговоры с президентом России Путиным об атаках, предупреждая, что если Россия не предпримет действий, США это сделают. Имеет ли это какое-либо отношение к очевидному закрытию REvil, пока неясно.