Kaseya corrige as vulnerabilidades da VSA usadas no ataque de renúcia de ransomware

A Kaseya lançou uma atualização de segurança para as vulnerabilidades de dia zero do VSA usadas pela gangue de ransomware REvil para atacar MSPs e seus clientes.

O Kaseya VSA é uma solução de monitoramento e gerenciamento remoto comumente usada por provedores de serviços gerenciados para dar suporte a seus clientes. Os MSPs podem implantar VSAs no local usando seus próprios servidores ou usar a solução SaaS baseada em nuvem da Kaseya.

Em abril, o Instituto Holandês para Divulgação de Vulnerabilidades (DIVD) divulgou sete vulnerabilidades na Kaseya:

  • CVE-2021-30116 – Um vazamento de credencial e uma falha de lógica de negócios, a ser incluída em 9.5.7
  • CVE-2021-30117 – Uma vulnerabilidade de injeção de SQL, corrigida no patch de 8 de maio.
  • CVE-2021-30118 – Uma vulnerabilidade de execução remota de código, corrigida no patch de 10 de abril. (v9.5.6)
  • CVE-2021-30119 – Uma vulnerabilidade de Cross Site Scripting, a ser incluída na versão 9.5.7
  • CVE-2021-30120 – Ignorar 2FA, que foi corrigido na v9.5.7
  • CVE-2021-30121 – Uma vulnerabilidade de inclusão de arquivo local, corrigida no patch de 8 de maio.
  • CVE-2021-30201 – Uma vulnerabilidade de entidade externa XML, corrigida no patch de 8 de maio.

A Kaseya corrigiu a maioria das vulnerabilidades em seu serviço VSA SaaS, mas não concluiu a correção da versão local do VSA.

Infelizmente, a gangue do ransomware REvil venceu a Kaseya na linha de chegada e usou essas vulnerabilidades para lançar um ataque maciço em 2 de julho contra cerca de 60 MSPs usando servidores VSA locais e 1.500 clientes corporativos.

Não está claro quais vulnerabilidades foram usadas no ataque, mas acredita-se que seja uma ou uma combinação de CVE-2021-30116, CVE-2021-30119 e CVE-2021-30120.

Kaseya lança atualizações de segurança

Desde o ataque, a Kaseya pediu aos clientes VSA no local que desliguem seus servidores até que um patch esteja pronto.

Quase dez dias após os ataques, a Kaseya lançou a atualização VSA 9.5.7a (9.5.7.2994) para corrigir as vulnerabilidades usadas no ataque do ransomware REvil.

Com esta versão, a Kaseya corrigiu as seguintes vulnerabilidades:

  • Perda de credenciais e falta de lógica de negócios: CVE-2021-30116
  • Vulnerabilidade de script entre sites: CVE-2021-30119
  • Ignorar 2FA: CVE-2021-30120
  • Corrigido um problema em que o sinalizador de segurança não era usado para cookies de sessão do portal do usuário.
  • Corrigido um problema em que algumas respostas da API continham um hash de senha, potencialmente expondo senhas fracas a ataques de força bruta. O valor da senha agora está completamente mascarado.
  • Corrigida uma vulnerabilidade que poderia permitir uploads de arquivos não autorizados para o servidor VSA.

No entanto, a Kaseya recomenda que os clientes sigam o 'Um guia para se preparar para inicializar o VSA localmente' antes de instalar a atualização para evitar mais violações e garantir que os dispositivos ainda não estejam comprometidos.

Estas são as etapas básicas que os administradores devem seguir antes de reiniciar os servidores VSA e conectá-los à Internet:

  • Verifique se o servidor VSA está isolado
  • Sistema de Controle de Indicadores de Comprometimento (IOC)
  • Patches de SO do servidor VSA
  • Usando a reescrita de URL para controlar o acesso ao VSA por meio do IIS
  • Instale o Agente FireEye
  • Excluir scripts/trabalhos pendentes

Dessas etapas, é imperativo que os servidores VSA locais não sejam acessíveis publicamente pela Internet para evitar comprometimento durante a instalação do patch.

A Kaseya também incentiva os clientes a usar sua "Ferramenta de Detecção de Compromisso", uma coleção de scripts do PowerShell para detectar se um servidor VSA ou endpoints foram comprometidos.

Os scripts verificarão os servidores VSA para 'Kaseya webpages managedfiles vsaticketfiles agent.crt' e 'Kaseya webpages managedfiles vsaticketfiles agent.exe' e 'agent.crt' e 'agent.exe' no terminal.

A afiliada do REvil usou os arquivos agent.crt e agent.exe para distribuir o executável do ransomware REvil.

Para maior segurança, a Kaseya também sugere que o administrador local do VSA restrinja o acesso à GUI da Web a endereços IP locais e aqueles conhecidos por serem usados ​​por produtos de segurança.

"Para instalações do VSA no local, recomendamos limitar o acesso ao VSA Web GUI a endereços IP locais bloqueando a porta de entrada 443 no firewall da Internet. Algumas integrações podem exigir acesso de entrada ao servidor VSA na porta 443. Abaixo está uma lista de endereços IP que você pode colocar na lista de permissões em seu firewall (permitir 443 para FROM), se estiver usando essas integrações com seu produto VSA local." Kaseya explica.

Depois de instalar o patch, todos os usuários serão solicitados a alterar sua senha para uma que use os novos requisitos de senha.

  • Como instalar o Windows 3.1 em um iPad
  • Este quebra-cabeça exclusivo acende quando você consegue encontrar uma peça correta

descubra mais conteúdo

O que é um amplificador integrado?

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Por que a NASA enviou Snoopy para a Lua? – Revisão geek

Deixe uma resposta Cancelar resposta

Ir arriba