Kaseya corrige les vulnérabilités VSA utilisées dans l'attaque du rançongiciel REvil

  • Principal
  • Nouvelles
  • Kaseya corrige les vulnérabilités VSA utilisées dans l'attaque du rançongiciel REvil

Kaseya a publié une mise à jour de sécurité pour les vulnérabilités VSA zero-day utilisées par le gang de rançongiciels REvil pour attaquer les MSP et leurs clients.

Kaseya VSA est une solution de surveillance et de gestion à distance couramment utilisée par les fournisseurs de services gérés pour assister leurs clients. Les MSP peuvent déployer des VSA sur site à l'aide de leurs propres serveurs ou utiliser la solution SaaS basée sur le cloud de Kaseya.

En avril, le Institut néerlandais pour la divulgation des vulnérabilités (DIVD) a révélé sept vulnérabilités dans Kaseya :

  • CVE-2021-30116 - Une fuite d'informations d'identification et une faille de logique métier, à inclure dans 9.5.7
  • CVE-2021-30117 - Une vulnérabilité d'injection SQL, corrigée dans le patch du 8 mai.
  • CVE-2021-30118 - Une vulnérabilité d'exécution de code à distance, corrigée dans le patch du 10 avril. (v9.5.6)
  • CVE-2021-30119 - Une vulnérabilité de type Cross Site Scripting, à inclure dans la version 9.5.7
  • CVE-2021-30120 - Bypass 2FA, à corriger dans la v9.5.7
  • CVE-2021-30121 - Une vulnérabilité d'inclusion de fichier local, corrigée dans le patch du 8 mai.
  • CVE-2021-30201 - Une vulnérabilité d'entité externe XML, corrigée dans le patch du 8 mai.

Kaseya avait corrigé la plupart des vulnérabilités de son service SaaS VSA, mais n'avait pas terminé de corriger la version locale du VSA.

Malheureusement, le gang de rançongiciels REvil a battu Kaseya jusqu'à la ligne d'arrivée et a utilisé ces vulnérabilités pour lancer une attaque massive le 2 juillet contre environ 60 MSP utilisant des serveurs VSA sur site et 1 500 entreprises clientes.

On ne sait pas quelles vulnérabilités ont été utilisées dans l'attaque, mais on pense qu'il s'agit d'une ou d'une combinaison de CVE-2021-30116, CVE-2021-30119 et CVE-2021-30120.

Kaseya publie des mises à jour de sécurité

Depuis l'attaque, Kaseya a exhorté les clients VSA sur place à fermer leurs serveurs jusqu'à ce qu'un correctif soit prêt.

Près de dix jours après les attentats, Kaseya a Publication de la mise à jour VSA 9.5.7a (9.5.7.2994) pour corriger les vulnérabilités utilisées dans l'attaque du rançongiciel REvil.

Avec cette version, Kaseya a corrigé les vulnérabilités suivantes :

  • Perte d'identifiants et manque de logique métier : CVE-2021-30116
  • Vulnérabilité de script intersite : CVE-2021-30119
  • Contourner 2FA : CVE-2021-30120
  • Correction d'un problème où l'indicateur de sécurité n'était pas utilisé pour les cookies de session du portail utilisateur.
  • Correction d'un problème où certaines réponses d'API contenaient un hachage de mot de passe, exposant potentiellement les mots de passe faibles à des attaques par force brute. La valeur du mot de passe est maintenant entièrement masquée.
  • Correction d'une vulnérabilité qui pouvait permettre des téléchargements de fichiers non autorisés sur le serveur VSA.

Cependant, Kaseya exhorte les clients à suivre le ' Un guide pour préparer le lancement du VSA localement 'avant d'installer la mise à jour pour éviter d'autres violations et s'assurer que les appareils ne sont pas déjà compromis.

Voici les étapes de base que les administrateurs doivent suivre avant de redémarrer les serveurs VSA et de les connecter à Internet :

  • Assurez-vous que votre serveur VSA est isolé
  • Système de contrôle des indicateurs de compromission (IOC)
  • Correctifs du système d'exploitation VSA Server
  • Utilisation de la réécriture d'URL pour contrôler l'accès au VSA via IIS
  • Installer l'agent FireEye
  • Supprimer les scripts/tâches en attente

Parmi ces étapes, il est impératif que les serveurs VSA locaux ne soient pas accessibles publiquement à partir d'Internet pour éviter tout compromis lors de l'installation du correctif.

Kaseya encourage également les clients à utiliser son « outil de détection de compromis », une collection de scripts PowerShell pour détecter si un serveur VSA ou des terminaux ont été compromis.

Les scripts vérifieront les serveurs VSA pour 'Kaseya webpages managedfiles vsaticketfiles agent.crt' et 'Kaseya webpages managedfiles vsaticketfiles agent.exe' et 'agent.crt' et 'agent.exe' sur le point de terminaison.

L'affilié REvil a utilisé les fichiers agent.crt et agent.exe pour distribuer l'exécutable du rançongiciel REvil.

Pour plus de sécurité, Kaseya suggère également à l'administrateur VSA local de restreindre l'accès à l'interface graphique Web aux adresses IP locales et à celles connues pour être utilisées par les produits de sécurité.

« Pour les installations VSA sur site, nous vous recommandons de limiter l'accès à l'interface graphique Web VSA aux adresses IP locales en bloquant le port entrant 443 sur le pare-feu Internet. Certaines intégrations peuvent nécessiter un accès entrant au serveur VSA sur le port 443. Vous trouverez ci-dessous une liste d'adresses IP que vous pouvez ajouter à la liste blanche sur votre pare-feu (autoriser 443 entrantes vers FROM), si vous utilisez ces intégrations avec votre produit VSA local'. Expliquer Kaseya.

Après avoir installé le correctif, tous les utilisateurs seront invités à changer leur mot de passe pour un mot de passe qui utilise les nouvelles exigences de mot de passe.

Qu'est-ce que tu penses?