首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】Kaseya VSA 7月多個安全漏洞

發布時間 2021-07-12

0x00 漏洞概述

Kaseya VSA是托管服務提供商 (MSP) 常用來管理客戶網絡的 RMM(遠程監控和管理)軟件。

2021年7月11日,Kaseya發布VSA 9.5.7a (9.5.7.2994)的安全更新,修復了CVE-2021-30116、CVE-2021-30119 和 CVE-2021-30120漏洞,以及會話 cookie 未使用安全標志、暴力破解和文件上傳等問題。

 

0x01 漏洞詳情

image.png

今年4月,荷蘭漏洞披露研究所 (DIVD) 向 Kaseya 披露了七個漏洞:

CVE-2021-30116:信息泄露漏洞,影響9.5.7 之前的版本。

CVE-2021-30117:SQL 注入漏洞,已在 5 月 8 日的補丁中修復。(VSA 9.5.6)

CVE-2021-30118:遠程代碼執行漏洞,已在 4 月 10 日的補丁中修復。(v9.5.5)

CVE-2021-30119:XSS漏洞,影響9.5.7 之前的版本。

CVE-2021-30120 :2FA 繞過漏洞,影響9.5.7 之前的版本。

CVE-2021-30121:本地文件包含漏洞,已在 5 月 8 日的補丁中修復。(VSA 9.5.6)

CVE-2021-30201:XML 外部實體漏洞,已在 5 月 8 日的補丁中修復。(VSA 9.5.6)

 

事件詳情

2021年7月2日,REvil 團伙利用 Kaseya VSA 軟件中的安全漏洞針對全球多個MSP及其客戶發起供應鏈攻擊。據表示,攻擊者可能單獨利用或組合利用了CVE-2021-30116、CVE-2021-30119 和 CVE-2021-30120,以繞過認證并運行任意命令。

作為響應,Kaseya建議立即關閉VSA 服務器。之后,可從Internet 訪問的 Kaseya VSA 實例數量已從2200 多個下降到不到 140 個。

image.png

事后,Kaseya表示,REvil供應鏈勒索軟件攻擊入侵了約60個使用該公司VSA內部產品的客戶的系統,受害者近1500名,因為他們的網絡是由MSP使用Kaseya遠程管理工具管理的。此外,Revil的攻擊者是通過VSA 產品功能部署勒索軟件的,目前沒有證據表明 Kaseya 的 VSA 代碼庫已被篡改。

REvil聲稱已經加密了超過 1,000,000 個系統,最初其要求 7000 萬美元的贖金,現在要求 5000 萬美元購買通用解密器。

 

影響范圍

Kaseya VSA < 9.5.7a

 

0x02 處置建議

目前這些漏洞已經修復,建議升級至VSA 9.5.7a (9.5.7.2994) 版本。

其它措施

1.Kaseya 敦促客戶在安裝更新之前遵循“本地 VSA 啟動準備指南”步驟,以防止攻擊行為。以下是管理員在再次啟動 VSA 服務器并將它們連接到 Internet 之前應該執行的基本步驟:(重點:不能從 Internet 公開訪問本地 VSA 服務器)

l  確保您的 VSA 服務器是隔離的 ;

l  檢查系統的妥協指標 (IOC)  ;

l  安裝VSA服務器操作系統補丁 ;

l  使用 URL Rewrite 控制通過 IIS 對 VSA 的訪問 ;

l  安裝 FireEye 代理 ;

l  刪除掛起的腳本/作業。

 

2.此外,Kaseya 還敦促客戶使用他們的PowerShell 腳本的“入侵檢測工具”來檢測 VSA 服務器或端點是否已被入侵:腳本將檢查 VSA 服務器是否存在“Kaseya\webpages\managedfiles\vsaticketfiles\agent.crt”和“Kaseya\webpages\managedfiles\vsaticketfiles\agent.exe”以及“agent.crt”和“agent.exe”在端點上。(注:REvil 團伙使用 agent.crt 和 agent.exe 文件來部署 REvil 勒索軟件可執行文件)。

 

3. 為了提高安全性,Kaseya 還建議內部部署的 VSA 管理員將對 Web GUI 的訪問權限限制為本地 IP 地址和已知安全產品使用的 IP 地址。

 

下載鏈接:

https://helpdesk.kaseya.com/hc/en-gb/articles/4403785889041

https://kaseya.app.box.com/s/0ysvgss7w48nxh8k1xt7fqhbcjxhas40

 

0x03 參考鏈接

https://helpdesk.kaseya.com/hc/en-gb/articles/4403785889041

https://mp.weixin.qq.com/s/aoSf0HFH7lOz6bGXGKboNg

https://www.bleepingcomputer.com/news/security/kaseya-patches-vsa-vulnerabilities-used-in-revil-ransomware-attack/

 

0x04 更新版本

版本

日期

修改內容

V1.0

2021-07-12

首次發布

 

0x05 文檔附錄

CNVD:www.cnvd.org.cn

CNNVD:www.cnnvd.org.cn

CVE:cve.mitre.org

NVD:nvd.nist.gov

CVSS:www.first.org

 

0x06 關于我們

關注以下公眾號,獲取更多資訊:

image.png         image.png

 

 

上一篇 下一篇