Kaseya vydáva záplaty pre chyby zneužité pri rozšírenom ransomvérovom útoku

Floridský dodávateľ softvéru Kaseya v nedeľu spustil naliehavé aktualizácie na riešenie kritických bezpečnostných zraniteľností vo svojom riešení Virtual System Administrator (VSA), ktoré sa použilo ako východiskový bod na zacielenie až na 1500 firiem na celom svete v rámci rozsiahleho ransomvérového útoku na dodávateľský reťazec.

Po incidente spoločnosť vyzvala lokálnych zákazníkov VSA, aby vypli svoje servery, kým nebude k dispozícii oprava. Teraz, takmer o 10 dní neskôr, spoločnosť dodala verziu VSA 9.5.7a (9.5.7.2994) s opravami troch nových bezpečnostných chýb —

  • CVE-2021-30116 – Únik poverení a chyba obchodnej logiky
  • CVE-2021-30119 – Chyba zabezpečenia skriptovania medzi stránkami
  • CVE-2021-30120 – Obídenie dvojfaktorovej autentifikácie

Bezpečnostné problémy sú súčasťou celkovo siedmich zraniteľností, ktoré boli objavené a oznámené Kaseyovi holandským inštitútom pre odhalenie zraniteľnosti (DIVD) začiatkom apríla, pričom štyri ďalšie slabé miesta boli opravené v predchádzajúcich vydaniach —

  • CVE-2021-30117 – Chyba zabezpečenia SQL injection (opravené vo VSA 9.5.6)
  • CVE-2021-30118 – Chyba zabezpečenia vzdialeného spúšťania kódu (opravené vo VSA 9.5.5)
  • CVE-2021-30121 – Chyba zabezpečenia zahrnutia miestneho súboru (opravené vo VSA 9.5.6)
  • CVE-2021-30201 – Zraniteľnosť externej entity XML (Opravené vo VSA 9.5.6)

Okrem opráv vyššie uvedených nedostatkov najnovšia verzia rieši aj tri ďalšie chyby, vrátane chyby, ktorá odhalila slabé hash hesiel v určitých reakciách API na útoky hrubou silou, ako aj samostatnú zraniteľnosť, ktorá by mohla umožniť neoprávnené nahrávanie súborov do VSA. server.

Pre ďalšie zabezpečenie Kaseya odporúča obmedziť prístup k VSA Web GUI na lokálne IP adresy zablokovaním portu 443 na internetovom firewalle pre lokálne inštalácie.

Kaseya tiež varuje svojich zákazníkov, že inštalácia opravy by prinútila všetkých používateľov po prihlásení povinne zmeniť svoje heslá, aby splnili požiadavky na nové heslo, pričom dodáva, že vybrané funkcie boli nahradené vylepšenými alternatívami a že „vydanie prináša niektoré funkčné chyby, ktoré budú opravené. v budúcom vydaní.”

Okrem zavedenia opravy pre lokálne verzie svojho softvéru na vzdialené monitorovanie a správu VSA spoločnosť tiež iniciovala obnovenie svojej infraštruktúry VSA SaaS. „Obnova služieb napreduje podľa plánu, pričom 60 % našich zákazníkov SaaS je v prevádzke a servery budú pre ostatných zákazníkov online v najbližších hodinách,“ uviedol Kaseya v priebežnom upozornení.

Najnovší vývoj prichádza niekoľko dní po tom, čo Kaseya varoval, že spameri využívajú prebiehajúcu ransomvérovú krízu na odosielanie falošných e-mailových upozornení, ktoré vyzerajú ako aktualizácie Kaseya, len aby infikovali zákazníkov užitočným zaťažením Cobalt Strike, aby získali zadný prístup k systémom a dodali ďalšiu fázu. malvér.

Kaseya povedal, že viacero chýb bolo spojených dohromady v tom, čo nazýval „sofistikovaným kybernetickým útokom“, a hoci nie je presne jasné, ako bol vykonaný, predpokladá sa, že kombinácia CVE-2021-30116, CVE-2021-30119 a Na vykonanie prienikov bol použitý CVE-2021-30120. K zodpovednosti za incident sa prihlásil REvil, početný ransomvérový gang so sídlom v Rusku.

Použitie dôveryhodných partnerov, ako sú výrobcovia softvéru alebo poskytovatelia služieb, ako je Kaseya, na identifikáciu a kompromitáciu nových následných obetí, ktoré sa často nazývajú útoky dodávateľského reťazca, a ich spárovanie s ransomvérovými infekciami, ktoré šifrujú súbory, z neho tiež urobili jednu z najväčších a najvýznamnejších takýchto doterajších útokov.

Zaujímavé je, že agentúra Bloomberg v sobotu uviedla, že päť bývalých zamestnancov Kaseya označilo spoločnosť za „výrazné“ bezpečnostné diery v jej softvéri v rokoch 2017 až 2020, ale ich obavy boli odstránené.

„Medzi najvýraznejšie problémy patril softvér podporovaný zastaraným kódom, používanie slabého šifrovania a hesiel v produktoch a serveroch Kaseya, nedodržiavanie základných postupov kybernetickej bezpečnosti, ako je pravidelné opravovanie softvéru a zameranie sa na predaj na úkor iných priorít. “, uvádza sa v správe.

Útok Kaseya je tretíkrát, čo pobočky ransomvéru zneužili produkty Kaseya ako vektor na nasadenie ransomvéru.

Vo februári 2019 kartel ransomvéru Gandcrab – z ktorého sa neskôr vyvinuli Sodinokibi a REvil – využil zraniteľnosť v doplnku Kaseya pre softvér ConnectWise Manage na nasadenie ransomvéru v sieťach zákazníckych sietí MSP. Potom v júni 2019 tá istá skupina išla po produktoch Webroot SecureAnywhere a Kaseya VSA, aby infikovala koncové body ransomvérom Sodinokibi.