网络犯罪帮派利用零日缺陷
更新Revil勒索软件帮派在损害IT管理平台Kaseya VSA后要求支付7000万美元的付款,并据报道对1000多个下游组织的数据进行了加密。
Huntress安全研究员John Hammond在周日(7月4日)发布了与俄罗斯国家联系小组的需求的屏幕截图。哈蒙德还说,基于分析全球大约30个MSP。
在一系列滚动的最新成员中更新卡西亚(Kaseya)于7月5日发布,他说,“直接被这次攻击妥协的本地kaseya vsa客户“知道少于60”,影响了“少于1,500个下游企业”。
该供应商表示,SaaS和NOC(网络运营中心)客户以及服务器离线的本地客户“现在有零相关的风险”。
竞赛关闭
在发现了7月2日开始的攻击之后,Kaseya敦促客户立即关闭其VSA服务器,因为攻击者所做的第一件事是关闭对VSA的管理访问。
荷兰脆弱性披露研究所(DIVD)周日说此后,面向互联网的Kaseya VSA实例的数量从2200多个下降到不到140个。
据报道,网络犯罪分子利用了零日sqli以及Kaseya和Divd正在进行修复过程中的其他漏洞。
漏洞(CVE-2021-30116)由Divd安全研究员Wietse Boonstra发现。
在利用缺陷之后,勒索软件是通过伪造的自动更新开始的,该更新部署了“整个庄园 - 包括在MSP客户客户的系统上”。博客文章英国安全专家凯文·博蒙特(Kevin Beaumont)于7月2日出版。
补丁计划
已建议受影响的客户仅一旦应用安全补丁就可以还原VSA服务器。
Kaseya说:“已经开发了本地客户的补丁,目前正在进行测试和验证过程。”“我们预计该补丁将在我们的SaaS服务器培养后24小时内提供。
“当前将我们的SaaS服务器返回在线的估计是EDT的7月6日至下午5:00。这些时间可能会随着我们完成最终测试和验证过程而发生变化。
“我们将使用分阶段功能发布VSA,以使服务更快地在线。”
到目前为止,已开发出一种用于检测Revil感染的工具已向2,000多个客户推出。供应商还承诺对WAF功能和SaaS服务器监视进行增强。
CISA和联邦调查局还发布了其他缓解建议针对MSP及其客户。
“最大努力”
Kaseya首席执行官Fred Voccola在美国广播公司电视节目《早安》上发表讲话说:“实际上,我们100%有信心我们知道它是如何发生的,并且已经进行了纠正。”
Divd说,Kaseya愿意付出“最大的努力和主动性”,以解决问题和客户修补。“他们表现出真正的承诺做正确的事。”
托管服务提供商使用Kaseya VSA来代表其客户管理,监视和安全的端点和公司网络。位于迈阿密的Kaseya说它的IT管理产品由40,000多个客户使用。
供应链攻击可能会通过渗透到单个软件平台来损害数百或数千个下游组织,这可以说是当前最严重的网络安全威胁,而Kaseya攻击在今年早些时候发生了破坏性的太阳能攻击之后。
约翰·哈蒙德(John Hammond)还回忆起Huntress如何发布建议视频2019年,为了响应以前的供应链攻击,损害了100多个MSP。
本文于7月6日更新,以反映Kaseya在7月5日发布的有关此事件的全新更新。