Kaseya veröffentlicht Patches für Schwachstellen, die bei einer weit verbreiteten Ransomware-Attacke ausgenutzt wurden

  • Der in Florida ansässige Software-Anbieter Kaseya hat am Sonntag Software-Updates veröffentlicht, um kritische Sicherheitslücken in seiner Virtual System Administrator (VSA)-Software zu schließen, die als Ausgangspunkt für einen weit verbreiteten Ransomware-Angriff auf bis zu 1.500 Unternehmen in aller Welt genutzt wurden.

    Nach dem Vorfall hatte das Unternehmen die VSA-Kunden vor Ort aufgefordert, ihre Server herunterzufahren, bis ein Patch verfügbar ist. Jetzt, fast 10 Tage später, hat das Unternehmen die VSA-Version 9.5.7a (9.5.7.2994) mit Korrekturen für drei neue Sicherheitslücken ausgeliefert –

    • CVE-2021-30116 – Leck in den Anmeldeinformationen und Fehler in der Geschäftslogik
    • CVE-2021-30119 – Cross-Site-Scripting-Schwachstelle
    • CVE-2021-30120 – Umgehung der Zwei-Faktoren-Authentifizierung

    Die Sicherheitsprobleme sind Teil von insgesamt sieben Schwachstellen, die Anfang April vom niederländischen Institute for Vulnerability Disclosure (DIVD) entdeckt und an Kaseya gemeldet wurden, von denen vier weitere Schwachstellen in früheren Versionen behoben wurden –

    • CVE-2021-30117 – SQL-Injection-Schwachstelle (behoben in VSA 9.5.6)
    • CVE-2021-30118 – Sicherheitsanfälligkeit für Remotecodeausführung (behoben in VSA 9.5.5)
    • CVE-2021-30121 – Sicherheitsanfälligkeit für lokale Dateieinbindung (behoben in VSA 9.5.6)
    • CVE-2021-30201 – Sicherheitslücke bei externen XML-Entitäten (behoben in VSA 9.5.6)

    Neben den Korrekturen für die oben genannten Mängel behebt die neueste Version auch drei weitere Schwachstellen, darunter einen Fehler, der schwache Passwort-Hashes in bestimmten API-Antworten für Brute-Force-Angriffe anfällig machte, sowie eine separate Schwachstelle, die den nicht autorisierten Upload von Dateien auf den VSA-Server ermöglichen konnte.

    [Blocked Image: https://thehackernews.com/images/-W-YXfspkl8I/YMt1op6vO6I/AAAAAAAA4Q4/SnWv_Gbl-RMg2BM3YaU9IL1sLek-JjiUACLcBGAsYHQ/s728-e100/free-ad-9-728.png]

    Für zusätzliche Sicherheit empfiehlt Kaseya, den Zugriff auf die VSA-Web-GUI auf lokale IP-Adressen zu beschränken, indem Sie den eingehenden Port 443 in Ihrer Internet-Firewall blockieren.

    Kaseya warnt seine Kunden außerdem, dass die Installation des Patches alle Benutzer zwingt, ihre Passwörter nach der Anmeldung zu ändern, um die neuen Passwortanforderungen zu erfüllen, und fügt hinzu, dass ausgewählte Funktionen durch verbesserte Alternativen ersetzt wurden und dass das “Release einige funktionale Fehler einführt, die in einem zukünftigen Release korrigiert werden.”

    Neben dem Rollout des Patches für die On-Premises-Versionen seiner VSA-Remote-Monitoring- und -Management-Software hat das Unternehmen auch die Wiederherstellung seiner VSA-SaaS-Infrastruktur eingeleitet. “Die Wiederherstellung der Dienste verläuft nach Plan, wobei 60 % unserer SaaS-Kunden live sind und die Server für den Rest unserer Kunden in den nächsten Stunden online gehen”, so Kaseya in einem Rolling Advisory.

    Die jüngste Entwicklung kommt Tage, nachdem Kaseya davor gewarnt hatte, dass Spammer die anhaltende Ransomware-Krise ausnutzen, um gefälschte E-Mail-Benachrichtigungen zu versenden, die scheinbar Kaseya-Updates sind, nur um Kunden mit Cobalt Strike-Payloads zu infizieren, um sich durch eine Hintertür Zugang zu den Systemen zu verschaffen und die nächste Stufe der Malware zu liefern.

    Kaseya hat gesagt, dass mehrere Schwachstellen in einer “ausgeklügelten Cyberattacke” miteinander verkettet wurden, aber es wird vermutet, dass eine Kombination aus CVE-2021-30116, CVE-2021-30119 und CVE-2021-30120 verwendet wurde, um die Angriffe auszuführen. REvil, eine weit verbreitete Ransomware-Gang mit Sitz in Russland, hat sich zu dem Vorfall bekannt.

    Die Nutzung von vertrauenswürdigen Partnern wie Softwareherstellern oder Dienstanbietern wie Kaseya, um neue, nachgelagerte Opfer zu identifizieren und zu kompromittieren, was oft als Supply-Chain-Angriff bezeichnet wird, und die Kopplung mit dateiverschlüsselnden Ransomware-Infektionen machen diesen Vorfall zu einem der bisher größten und bedeutendsten Angriffe dieser Art.

    Interessanterweise berichtete Bloomberg am Samstag, dass fünf ehemalige Kaseya-Mitarbeiter das Unternehmen zwischen 2017 und 2020 auf “eklatante” Sicherheitslücken in seiner Software aufmerksam gemacht hatten, ihre Bedenken aber abgetan wurden.

    [Blocked Image: https://thehackernews.com/images/-SBDa0OwIyQY/YLy9M341QGI/AAAAAAAA4BM/m6-TrBrJenABekCqMu1Gp2XbmtAaeHd9ACLcBGAsYHQ/s300-e100/auth_300.jpg]

    “Zu den eklatantesten Problemen gehörten Software, die auf veraltetem Code basierte, die Verwendung von schwacher Verschlüsselung und Passwörtern in Kaseyas Produkten und Servern, die Nichteinhaltung grundlegender Cybersicherheitspraktiken wie regelmäßiges Patchen der Software und eine Konzentration auf den Verkauf auf Kosten anderer Prioritäten”, so der Bericht.

    Der Kaseya-Angriff markiert das dritte Mal, dass Ransomware-Ableger Kaseya-Produkte als Vektor für die Verbreitung von Ransomware missbraucht haben.

    Im Februar 2019 nutzte das Gandcrab-Ransomware-Kartell – aus dem später Sodinokibi und REvil hervorgingen – eine Schwachstelle in einem Kaseya-Plugin für die ConnectWise Manage-Software, um Ransomware in den Kundennetzwerken von MSPs einzusetzen. Im Juni 2019 griff dieselbe Gruppe dann Webroot SecureAnywhere- und Kaseya VSA-Produkte an, um Endpunkte mit Sodinokibi-Ransomware zu infizieren.

    Sie fanden diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com