Kaseya 修复供应链勒索攻击事件中被利用的缺陷
编译:奇安信代码卫士
周日,位于美国佛罗里达州的软件厂商 Kaseya 发布紧急更新,修复了虚拟系统管理员 (VSA) 解决方案中的多个严重漏洞。该 VSA 软件被当作跳板,被攻击者用于针对1500家公司发动大规模供应链勒索攻击。
这起事件后,Kaseya 公司督促本地 VSA 版本客户关闭服务器等待补丁。当前,在发布 VSA 版本9.5.7a (9.5.7.2994) 近10天后,该公司发布补丁,修复三个新的安全缺陷:
CVE-2021-30116:凭证泄露和业务逻辑缺陷
CVE-2021-30119:跨站点脚本漏洞
CVE-2021-30120:双因素认证绕过
实际上在今年4月初,荷兰漏洞披露所就曾将这三个以及另外四个漏洞告知 Kaseya 公司,其它四个漏洞是:
CVE-2021-30117:SQL 注入漏洞(在 VSA 9.5.6中修复)
CVE-2021-30118:远程代码执行漏洞(在VSA 9.5.5中修复)
CVE-2021-30121:本地文件包含漏洞(在VSA 9.5.6中修复)
CVE-2021-30201:XML 外部实体漏洞(在VSA 9.5.6中修复)
除了修复上述漏洞外,最新版还修复了三个其它缺陷,包括在某些对暴力攻击的API 响应中暴力弱密码哈希的漏洞和可导致将文件越权上传至VSA服务器的漏洞。
Kaseya 还建议拦截端口443,限制对本地 IP 地址 VSA Web GUI 的访问权限。同时该公司还警告称,安装该补丁将强制所有用户必须在登录后修改密码以满足新的密码要求,并表示筛选功能已被改进的方案所取代,“发布引入了某些将在未来版本中修正的功能缺陷”。
除了为本地版 VSA 工具发布补丁外,Kaseya 公司还实例化了 VSA SaaS 基础设施的恢复,并在安全公告中指出,“服务正按计划恢复,几个小时后将为其他用户上线SaaS 客户和服务器。”
此前,Kaseya 警告称垃圾邮件者正在利用正在进行的勒索软件危机发送伪装成 Kaseya 状态更新的虚假邮件通知,目的是通过 Cobalt Strike payload 感染客户,对系统的后门访问权限并交付下一代恶意软件。
Kaseya 公司还表示,在“复杂的网络攻击”中攻击者组合利用多个缺陷,但它认为攻击者结合利用 CVE-2021-30116、CVE-2021-30119和CVE-2021-30120 执行入侵活动。而源自俄罗斯的勒索团伙 REvil 声称为此事负责。
通过受信任合作伙伴如软件厂商或服务提供商如 Kasey 识别并攻陷新的下游受害者的行为,被称为供应链攻击,而结合文件加密勒索软件实施感染使其称为迄今为止规模最大且复杂度最高的攻击之一。
有趣的是,上周六,彭博社报道称实际上Kaseya 公司的五名员工曾在2017年至2020年间向公司表示软件中存在 ”明显“ 的安全漏洞,但并未获得重视。报告指出,”最明显的问题包括在 Kaseya 产品和服务器中使用过时的代码、使用弱加密和密码、未能满足基本的网络安全实践如定期修复软件等,以及以牺牲其它优先任务为代价关注销售情况。“
实际上,这是 Kaseya 产品第三次被滥用于部署勒索软件。
2019年2月,Gandcrab 勒索团伙(后演进为 Sodinokibi 和 REvil)利用 COnnectWise Manage 软件插件的漏洞在 MSP 的客户网络中部署勒索软件。2019年6月,该组织利用 Sodinokibi 勒索软件感染 Webroot SecureAnywhere 和 Kaseya VSA 产品。
供应链勒索攻击登场,REvil 利用0day 迫使安全事件响应工具 VSA部署勒索软件
ERP 平台Sage X3被曝多个严重漏洞,系统可遭接管,存在潜在供应链风险
第三方组件曝多个严重漏洞,飞利浦 Vue PACS 医学成像系统受影响
https://thehackernews.com/2021/07/kaseya-releases-patches-for-flaws.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。