Kaseya发布了针对广泛勒索软件攻击中漏洞的补丁

总部位于佛罗里达州的软件供应商Kaseya周日发布了紧急更新，以解决其Virtual System Administrator（VSA）解决方案中的关键安全漏洞。作为广泛的供应链勒索软件攻击的一部分，该解决方案被用作针对全球多达1500家企业的起点。

事件发生后，该公司敦促本地VSA客户关闭服务器，直到有补丁可用。现在，大约10天后，该公司发布了VSA 9.5.7a版（9.5.7.2994），并修复了三个新的安全漏洞—；

• CVE-2021-30116-凭据泄漏和业务逻辑缺陷
• CVE-2021-30119-跨站点脚本漏洞
• CVE-2021-30120-双因素认证旁路

The security issues are part of a total of seven vulnerabilities that were discovered and reported to Kaseya by the Dutch Institute for Vulnerability Disclosure (DIVD) earlier in April, of which four other weaknesses were remediated in previous releases —

• CVE-2021-30117-SQL注入漏洞（在VSA 9.5.6中修复）
• CVE-2021-30118-远程代码执行漏洞（已在VSA 9.5.5中修复）
• CVE-2021-30121-本地文件包含漏洞（已在VSA 9.5.6中修复）
• CVE-2021-30201-XML外部实体漏洞（已在VSA 9.5.6中修复）

除了修复了上述缺陷，最新版本还解决了其他三个缺陷，包括一个漏洞，该漏洞暴露了对暴力攻击的某些API响应中的弱密码哈希，以及一个单独的漏洞，该漏洞可能允许未经授权将文件上传到VSA服务器。

为了提高安全性，Kaseya建议将VSA Web GUI的访问权限限制在本地IP地址，方法是阻止互联网防火墙上的端口443入站，以便进行内部安装。

Kaseya还警告其客户，安装该补丁将迫使所有用户在登录后强制更改密码，以满足新的密码要求，并补充说，部分功能已被改进的替代方案所取代，“该版本引入了一些功能缺陷，将在未来的版本中予以纠正。”

除了推出VSA远程监控和管理软件的本地版本补丁外，该公司还实例化了VSA SaaS基础设施的恢复。Kaseya在一份滚动咨询中表示：“服务的恢复正在按计划进行，我们60%的SaaS客户都在使用，其余客户的服务器将在未来几个小时内上线。”。

几天前，Kaseya警告说，垃圾邮件发送者正在利用正在进行的勒索软件危机发送虚假电子邮件通知，这些通知似乎是Kaseya的更新，只是为了用Cobalt Strike有效载荷感染客户，从而获得对系统的后门访问，并交付下一阶段的恶意软件。

Kaseya表示，多个缺陷被链接在一起，形成了一种“复杂的网络攻击”，虽然目前尚不清楚它是如何执行的，但据信是CVE-2021-30116、CVE-2021-30119和CVE-2021-30120的组合被用于实施入侵。总部位于俄罗斯的勒索软件团伙REvil声称对这起事件负责。

利用软件制造商或服务提供商（如Kaseya）等可信任的合作伙伴来识别和危害新的下游受害者（通常称为供应链攻击），并将其与文件加密勒索软件感染相结合，也使其成为迄今为止规模最大、意义最重大的此类攻击之一。

有趣的是，彭博社周六报道称，五名前Kaseya员工曾在2017年至2020年间就其软件中的“明显”安全漏洞向该公司发出警告，但他们的担忧被置之不理。

该报告称：“最突出的问题包括以过时代码为基础的软件、Kaseya的产品和服务器使用了弱加密和密码、未能遵守基本的网络安全做法，如定期修补软件，以及以牺牲其他优先事项为重点的销售。”。

Kaseya攻击标志着勒索软件分支机构第三次滥用Kaseya产品作为部署勒索软件的载体。

2019年2月，Gandcrab勒索软件卡特尔—；后来演变成Sodinokibi和REvil—；利用ConnectWise管理软件Kaseya插件中的漏洞，在MSP客户网络的网络上部署勒索软件。然后在2019年6月，同一个小组追踪Webroot SecureAnywhere和Kaseya VSA产品，用Sodinokibi勒索软件感染端点。