佛罗里达州的软件供应商 Kaseya 周日推出了紧急更新,以解决其虚拟系统管理员 (VSA) 解决方案中的关键安全漏洞,该解决方案被用作一个起点,针对全球多达 1,500 家企业作为广泛供应的一部分-chain 勒索软件攻击。
事件发生后,该公司敦促本地 VSA 客户关闭他们的服务器,直到补丁可用。现在,差不多 10 天后,该公司发布了VSA 版本 9.5.7a (9.5.7.2994),其中修复了三个新的安全漏洞——
- CVE-2021-30116 – 凭据泄漏和业务逻辑缺陷
- CVE-2021-30119 – 跨站脚本漏洞
- CVE-2021-30120 – 双因素身份验证绕过
这些安全问题是荷兰漏洞披露研究所 ( DIVD ) 在 4月初发现并报告给 Kaseya 的总共七个漏洞的一部分,其中四个其他漏洞在之前的版本中得到了修复——
- CVE-2021-30117 – SQL 注入漏洞(在 VSA 9.5.6 中修复)
- CVE-2021-30118 – 远程代码执行漏洞(已在 VSA 9.5.5 中修复)
- CVE-2021-30121 – 本地文件包含漏洞(已在 VSA 9.5.6 中修复)
- CVE-2021-30201 – XML 外部实体漏洞(在 VSA 9.5.6 中修复)
除了修复上述缺陷外,最新版本还解决了其他三个缺陷,包括在某些 API 响应中暴露弱密码哈希以应对暴力攻击的错误以及可能允许未经授权将文件上传到 VSA 的单独漏洞服务器。
为了提高安全性,Kaseya建议通过阻止本地安装的 Internet 防火墙上的端口 443 入站,将 VSA Web GUI 的访问限制为本地 IP 地址。
Kaseya 还警告其客户,安装补丁将迫使所有用户在登录后强制更改密码以满足新的密码要求,并补充说选择功能已被改进的替代品所取代,并且“版本引入了一些功能缺陷,这些缺陷将得到纠正在未来的版本中。”
除了为其 VSA 远程监控和管理软件的本地版本推出补丁外,该公司还实例化了其 VSA SaaS 基础设施的恢复。“服务的恢复是按计划进行,我们的SaaS客户生活和联机为我们的客户在未来数小时内其余服务器的60%,”卡西亚说,在滚动咨询。
在 Kaseya 警告称,垃圾邮件发送者正在利用持续的勒索软件危机发送看似是 Kaseya 更新的虚假电子邮件通知,只会用 Cobalt Strike 有效载荷感染客户以获得对系统的后门访问权并提供下一阶段恶意软件。
Kaseya 曾表示,在所谓的“复杂网络攻击”中存在多个缺陷,虽然尚不清楚它是如何执行的,但相信 CVE-2021-30116、CVE-2021-30119 和 CVE-2021-30119 的组合CVE-2021-30120 被用于执行入侵。REvil 是一个位于俄罗斯的多产勒索软件团伙,已声称对此事件负责。
利用软件制造商等受信任的合作伙伴或 Kaseya 等服务提供商来识别和危害新的下游受害者(通常称为供应链攻击),并将其与文件加密勒索软件感染配对,这也使其成为最大和最重要的此类攻击之一。攻击至今。
有趣的是,彭博社周六报道称,五名前 Kaseya 员工曾在 2017 年至 2020 年间向该公司举报其软件中存在“明显”的安全漏洞,但他们的担忧被置之不理。
“其中最明显的问题是软件以过时的代码为基础,在 Kaseya 的产品和服务器中使用弱加密和密码,未能遵守基本的网络安全实践,例如定期修补软件以及以牺牲其他优先事项为代价的专注于销售,”报告说。
Kaseya 攻击标志着勒索软件附属公司第三次滥用 Kaseya 产品作为部署勒索软件的载体。
2019年2 月,Gandcrab 勒索软件卡特尔(后来演变为 Sodinokibi 和 REvil)利用 ConnectWise Manage 软件的 Kaseya 插件中的漏洞在 MSP 的客户网络上部署勒索软件。然后在2019 年 6 月,同一个组织追踪 Webroot SecureAnywhere 和 Kaseya VSA 产品,用 Sodinokibi 勒索软件感染端点。
极牛网精选文章《Kaseya 发布针对广泛勒索软件攻击中利用的漏洞的补丁》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/15284.html
微信公众号 
微信小程序 
