GLOV
Участник БФ «DUBLIKAT-ДОБРО»
Проверенный продавец
Продавец
Проверенный покупатель
Подтвержденный
Проблема заключается в том, что большинство пострадавших серверов VSA использовались MSP-провайдерами, то есть компаниями, которые управляют инфраструктурой других клиентов. А значит, злоумышленники развернули шифровальщика в тысячах корпоративных сетей. По официальным данным, компрометация затронула около 60 клиентов Kaseya, через инфраструктуру которых хакеры смогли зашифровать примерно 800-1500 корпоративных сетей.
Kaseya VSA — это решение для удаленного управления и мониторинга, которое обычно используется MSP-провайдерами для поддержки своих клиентов. Компания может развернуть VSA локально, используя собственные серверы, а может использовать облачное SaaS-решение Kaseya.
Ранее Голландский институт раскрытия уязвимостей (DIVD) сообщал, что выявил семь уязвимостей в продуктах Kaseya:
- CVE-2021-30116: утечка учетных данных и проблема в бизнес-логике, патч будет включен в 9.5.7;
- CVE-2021-30117: SQL-инъекция, исправлена патчем от 8 мая 2021 года;
- CVE-2021-30118: RCE-уязвимость, устранена 10 апреля 2021 года;
- CVE-2021-30119: XSS-уязвимость, патч будет включен в 9.5.7;
- CVE-2021-30120: обход двухфакторной аутентификации, патч будет включен в 9.5.7;
- CVE-2021-30121: уязвимость типа local file inclusion, исправлена патчем от 8 мая 2021 года;
- CVE-2021-30201: уязвимость типа XML External Entity, исправлена патчем от 8 мая 2021 года.
После атаки представители Kaseya призывал клиентов отключить VSA до тех пор, пока не будут готовы исправления. Теперь, спустя почти десять дней после инцидента, компания наконец выпустила обновленную версию VSA 9.5.7a (9.5.7.2994), в которой устранила последние баги, использованные REvil (CVE-2021-30116, CVE-2021-30119 и CVE-2021-30120). Также в этой версии были исправлены другие проблемы:
- исправлена ошибка, из-за которой для файлов cookie User Portal не использовался флаг безопасности;
- исправлена проблема, из-за которой некоторые ответы API содержали хэши паролей, потенциально подвергая любые слабые пароли брутфорс-атакам;
- исправлена уязвимость, которая допускала несанкционированную загрузку файлов на сервер VSA.