Kaseya Merilis Patch untuk Kelemahan yang Dieksploitasi dalam Serangan Ransomware yang Meluas

  • Whatsapp
Kaseya Merilis Patch untuk Kelemahan yang Dieksploitasi dalam Serangan Ransomware yang Meluas

Vendor perangkat lunak yang berbasis di Florida Kaseya pada hari Minggu meluncurkan pembaruan mendesak untuk mengatasi kerentanan keamanan kritis dalam solusi Virtual System Administrator (VSA) yang digunakan sebagai titik awal untuk menargetkan sebanyak 1.500 bisnis di seluruh dunia sebagai bagian dari pasokan yang tersebar luas. -rantai serangan ransomware.

Setelah insiden tersebut, perusahaan telah mendesak pelanggan VSA lokal untuk mematikan server mereka sampai patch tersedia. Sekarang, hampir 10 hari kemudian perusahaan telah mengirimkan VSA versi 9.5.7a (9.5.7.2994) dengan perbaikan untuk tiga kelemahan keamanan baru —

Bacaan Lainnya

  • CVE-2021-30116 – Kebocoran kredensial dan cacat logika bisnis
  • CVE-2021-30119 – Kerentanan skrip lintas situs
  • CVE-2021-30120 – Bypass otentikasi dua faktor

Masalah keamanan adalah bagian dari total tujuh kerentanan yang ditemukan dan dilaporkan ke Kaseya oleh Dutch Institute for Vulnerability Disclosure (DIVD) pada awal April, di mana empat kelemahan lainnya diperbaiki dalam rilis sebelumnya —

  • CVE-2021-30117 – Kerentanan injeksi SQL (Tetap di VSA 9.5.6)
  • CVE-2021-30118 – Kerentanan eksekusi kode jarak jauh (Tetap di VSA 9.5.5)
  • CVE-2021-30121 – Kerentanan inklusi file lokal (Diperbaiki di VSA 9.5.6)
  • CVE-2021-30201 – Kerentanan entitas eksternal XML (Diperbaiki di VSA 9.5.6)

Selain perbaikan untuk kekurangan yang disebutkan di atas, versi terbaru juga memperbaiki tiga kelemahan lainnya, termasuk bug yang mengekspos hash kata sandi yang lemah dalam respons API tertentu terhadap serangan brute force serta kerentanan terpisah yang memungkinkan pengunggahan file yang tidak sah ke VSA server.

Tim Stack Overflow

Untuk keamanan tambahan, Kaseya adalah merekomendasikan membatasi akses ke VSA Web GUI ke alamat IP lokal dengan memblokir port 443 masuk di firewall internet Anda.

Kaseya juga memperingatkan pelanggannya bahwa menginstal tambalan akan memaksa semua pengguna untuk mengubah kata sandi mereka secara wajib setelah login untuk memenuhi persyaratan kata sandi baru, menambahkan bahwa fitur tertentu telah diganti dengan alternatif yang ditingkatkan dan bahwa “rilis memperkenalkan beberapa cacat fungsional yang akan diperbaiki dalam rilis mendatang.”

Selain peluncuran patch untuk versi lokal dari perangkat lunak pemantauan dan manajemen jarak jauh VSA, perusahaan juga telah menerapkan pemulihan infrastruktur SaaS VSA-nya. “Pemulihan layanan berjalan sesuai rencana, dengan 60% pelanggan SaaS kami aktif dan server online untuk pelanggan kami lainnya dalam beberapa jam mendatang,” Kaseya berkata dalam nasihat bergulir.

Perkembangan terbaru datang beberapa hari setelah Kaseya memperingatkan bahwa spammer memanfaatkan krisis ransomware yang sedang berlangsung untuk mengirimkan pemberitahuan email palsu yang tampaknya merupakan pembaruan Kaseya, hanya untuk menginfeksi pelanggan dengan muatan Cobalt Strike untuk mendapatkan akses pintu belakang ke sistem dan memberikan tahap berikutnya perangkat lunak jahat.

Kaseya mengatakan beberapa kelemahan dirantai bersama dalam apa yang disebut “serangan cyber canggih”, tetapi diyakini bahwa kombinasi CVE-2021-30116, CVE-2021-30119, dan CVE-2021-30120 digunakan untuk melakukan intrusi. . REvil, geng ransomware produktif yang berbasis di Rusia, telah mengaku bertanggung jawab atas insiden tersebut.

Penggunaan mitra tepercaya seperti pembuat perangkat lunak atau penyedia layanan seperti Kaseya untuk mengidentifikasi dan membahayakan korban hilir baru, yang sering disebut serangan rantai pasokan, dan memasangkannya dengan infeksi ransomware enkripsi file juga menjadikannya salah satu yang terbesar dan paling signifikan seperti serangan hingga saat ini.

Menariknya, Bloomberg pada hari Sabtu melaporkan bahwa lima mantan karyawan Kaseya telah menandai perusahaan tentang lubang keamanan “mencolok” dalam perangkat lunaknya antara 2017 dan 2020, tetapi kekhawatiran mereka ditepis.

Mencegah Serangan Ransomware

“Di antara masalah yang paling mencolok adalah perangkat lunak yang didukung oleh kode usang, penggunaan enkripsi dan kata sandi yang lemah dalam produk dan server Kaseya, kegagalan untuk mematuhi praktik keamanan siber dasar seperti menambal perangkat lunak secara teratur dan fokus pada penjualan dengan mengorbankan prioritas lain. ,” laporan berkata.

Serangan Kaseya menandai ketiga kalinya afiliasi ransomware menyalahgunakan produk Kaseya sebagai vektor untuk menyebarkan ransomware.

Di Februari 2019, kartel ransomware Gandcrab — yang kemudian berevolusi menjadi Sodinokibi dan REvil — memanfaatkan kerentanan dalam plugin Kaseya untuk perangkat lunak ConnectWise Manage untuk menyebarkan ransomware di jaringan jaringan pelanggan MSP. Kemudian di Juni 2019, kelompok yang sama mengejar produk Webroot SecureAnywhere dan Kaseya VSA untuk menginfeksi titik akhir dengan ransomware Sodinokibi.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *