Nhà cung cấp phần mềm Kaseya có trụ sở tại Florida vào Chủ nhật đã tung ra các bản cập nhật phần mềm để giải quyết các lỗ hổng bảo mật nghiêm trọng trong phần mềm Quản trị Hệ thống Ảo (VSA) của họ, được sử dụng như một điểm khởi đầu để nhắm mục tiêu đến 1.500 doanh nghiệp trên toàn cầu như một phần của cuộc tấn công ransomware chuỗi cung ứng.
Sau sự cố, công ty đã kêu gọi khách hàng của VSA tại chỗ đóng máy chủ của họ cho đến khi có bản vá. Bây giờ, gần 10 ngày sau công ty đã xuất xưởng Phiên bản VSA 9.5.7a (9.5.7.2994) với các bản sửa lỗi cho ba lỗi bảo mật mới –
- CVE-2021-30116 – Rò rỉ thông tin xác thực và lỗ hổng logic nghiệp vụ
- CVE-2021-30119 – Lỗ hổng tập lệnh trên nhiều trang web
- CVE-2021-30120 – Bỏ qua xác thực hai yếu tố
Các vấn đề bảo mật là một phần của tổng số bảy lỗ hổng đã được phát hiện và báo cáo cho Kaseya bởi Viện Công bố Lỗ hổng của Hà Lan (DIVD) trước đó vào tháng 4, trong đó bốn điểm yếu khác đã được khắc phục trong các bản phát hành trước –
- CVE-2021-30117 – Lỗ hổng SQL injection (Đã sửa trong VSA 9.5.6)
- CVE-2021-30118 – Lỗ hổng thực thi mã từ xa (Đã sửa trong VSA 9.5.5)
- CVE-2021-30121 – Lỗ hổng bao gồm tệp cục bộ (Đã sửa trong VSA 9.5.6)
- CVE-2021-30201 – Lỗ hổng thực thể bên ngoài XML (Đã sửa trong VSA 9.5.6)
Bên cạnh các bản sửa lỗi cho các thiếu sót nói trên, phiên bản mới nhất cũng giải quyết ba lỗi khác, bao gồm một lỗi làm lộ các hàm băm mật khẩu yếu trong các phản hồi API nhất định đối với các cuộc tấn công brute-force cũng như một lỗ hổng riêng biệt có thể cho phép tải các tệp lên VSA trái phép người phục vụ.
Để tăng cường bảo mật, Kaseya là giới thiệu giới hạn quyền truy cập vào VSA Web GUI tới các địa chỉ IP cục bộ bằng cách chặn cổng 443 đến trên tường lửa internet của bạn.
Kaseya cũng cảnh báo khách hàng của mình rằng việc cài đặt bản vá sẽ buộc tất cả người dùng bắt buộc thay đổi mật khẩu của họ sau khi đăng nhập để đáp ứng các yêu cầu mật khẩu mới, thêm rằng các tính năng được chọn đã được thay thế bằng các lựa chọn thay thế cải tiến và “bản phát hành giới thiệu một số lỗi chức năng sẽ được sửa chữa trong một bản phát hành trong tương lai. “
Bên cạnh việc tung ra bản vá cho các phiên bản tại chỗ của phần mềm quản lý và giám sát từ xa VSA, công ty cũng đã nhanh chóng khôi phục cơ sở hạ tầng VSA SaaS của mình. “Việc khôi phục các dịch vụ đang diễn ra theo đúng kế hoạch, với 60% khách hàng SaaS của chúng tôi đang hoạt động và các máy chủ sẽ trực tuyến cho những khách hàng còn lại của chúng tôi trong những giờ tới”, Kaseya nói trong một tư vấn luân phiên.
Diễn biến mới nhất diễn ra vài ngày sau khi Kaseya cảnh báo rằng những kẻ gửi thư rác đang lợi dụng cuộc khủng hoảng ransomware đang diễn ra để gửi các thông báo email giả mạo có vẻ là các bản cập nhật của Kaseya, chỉ để lây nhiễm cho khách hàng các tải trọng Cobalt Strike để có được quyền truy cập cửa sau vào hệ thống và cung cấp giai đoạn tiếp theo phần mềm độc hại.
Kaseya cho biết nhiều lỗ hổng đã được xâu chuỗi lại với nhau trong cái mà nó gọi là “cuộc tấn công mạng tinh vi”, nhưng người ta tin rằng sự kết hợp của CVE-2021-30116, CVE-2021-30119 và CVE-2021-30120 đã được sử dụng để thực hiện các cuộc xâm nhập . REvil, một băng đảng ransomware sung mãn có trụ sở tại Nga, đã lên tiếng nhận trách nhiệm về vụ việc.
Việc sử dụng các đối tác đáng tin cậy như các nhà sản xuất phần mềm hoặc nhà cung cấp dịch vụ như Kaseya để xác định và thỏa hiệp các nạn nhân hạ nguồn mới, thường được gọi là cuộc tấn công chuỗi cung ứng và ghép nối nó với các vụ lây nhiễm ransomware mã hóa tệp cũng đã khiến nó trở thành một trong những vụ lây nhiễm ransomware lớn nhất và quan trọng nhất. các cuộc tấn công cho đến nay.
Điều thú vị là Bloomberg hôm thứ Bảy đã báo cáo rằng 5 cựu nhân viên của Kaseya đã gắn cờ công ty về việc “làm sáng tỏ” các lỗ hổng bảo mật trong phần mềm của họ từ năm 2017 đến năm 2020, nhưng những lo ngại của họ đã bị loại bỏ.
“Trong số các vấn đề rõ ràng nhất là phần mềm được củng cố bởi mã lỗi thời, việc sử dụng mã hóa và mật khẩu yếu trong các sản phẩm và máy chủ của Kaseya, không tuân thủ các thực hành an ninh mạng cơ bản như thường xuyên vá phần mềm và tập trung vào bán hàng với chi phí cho các ưu tiên khác ,” báo cáo nói.
Cuộc tấn công Kaseya đánh dấu lần thứ ba các chi nhánh của ransomware lạm dụng các sản phẩm của Kaseya như một vector để triển khai ransomware.
Trong Tháng 2 năm 2019, băng đảng ransomware Gandcrab – sau này phát triển thành Sodinokibi và REvil – đã tận dụng một lỗ hổng trong một plugin Kaseya cho phần mềm ConnectWise Manage để triển khai ransomware trên mạng của các mạng khách hàng của MSP. Sau đó trong Tháng 6 năm 2019, cùng một nhóm đã theo đuổi các sản phẩm Webroot SecureAnywhere và Kaseya VSA để lây nhiễm các thiết bị đầu cuối bằng ransomware Sodinokibi.
