Kaseya patcht Zero-Days, die für böswillige Angriffe verwendet werden

  • Das Sicherheitsupdate behebt drei VSA-Schwachstellen, die von der Ransomware-Bande genutzt wurden, um einen weltweiten Supply-Chain-Angriff auf MSPs und deren Kunden zu starten.

    Kaseya hat sein Versprechen eingelöst, bis zum 11. Juli Patches zu veröffentlichen.

    Am Samstag veröffentlichte das Unternehmen, das hinter der Virtual System/Server Administrator (VSA)-Plattform steht, die von der REvil Ransomware-as-a-Service (RaaS)-Bande in einer massiven Supply-Chain-Attacke überrollt wurde, dringende Updates, um kritische Zero-Day-Sicherheitslücken in VSA zu schließen.

    Kaseya veröffentlichte das Update VSA 9.5.7a (9.5.7.2994), um drei Zero-Day-Schwachstellen zu beheben, die bei den Ransomware-Angriffen verwendet wurden.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2019/02/19151457/subscribe2.jpg]

    Das Unternehmen teilte auf seiner Rolling-Advisory-Seite mit, dass alle seine Software-as-a-Service (SaaS)-Kunden seit heute Morgen wieder verfügbar sind, während das Unternehmen noch daran arbeitet, On-Premises-Kunden, die Hilfe benötigen, wiederherzustellen:

    Die Wiederherstellung der Dienste ist nun abgeschlossen, und 100 % unserer SaaS-Kunden sind seit 3:30 Uhr US EDT wieder verfügbar. Unsere Support-Teams arbeiten weiterhin mit VSA On-Premises-Kunden zusammen, die Unterstützung bei der Installation des Patches angefordert haben. -Kaseya

    Ein dreister Ransomware-Blitz

    Am 2. Juli riss die REvil-Bande diese drei VSA-Zero-Days in mehr als 5.000 Angriffen auf. Bis zum 5. Juli wurde der weltweite Angriff in 22 Ländern durchgeführt und erreichte nicht nur die Kunden von Kaseya Managed Service Providern (MSP), sondern auch deren Kunden, da viele von ihnen VSA zur Verwaltung der Netzwerke anderer Unternehmen nutzen.

    Kaseya Kunden nutzen VSA zur Fernüberwachung und -verwaltung von Software und Netzwerkinfrastruktur. Es wird entweder als gehosteter Cloud-Service von Kaseya oder über VSA-Server vor Ort bereitgestellt.

    Nach den dreisten Ransomware-Angriffen boten die CISA und das FBI letzte Woche eine Anleitung für die Opfer an. Bedrohungsakteure nutzten die Situation schnell aus, indem sie Cobalt Strike-Backdoors einschleusten, indem sie ein gefälschtes Microsoft-Update zusammen mit einer bösartigen “SecurityUpdates”-Exe-Datei einschleusten.

    Mit Stand vom 6. Juli gab Kaseya in seinem aktualisierten Rolling Advisory an, dass weniger als 60 Kunden betroffen waren, aber weit mehr – “weniger als 1.500”, wie es hieß – nachgelagerte Unternehmen, die getroffen wurden.

    Kaseya wusste bereits von diesen Fehlern, als die Angriffe gestartet wurden. Im April hatte das Dutch Institute for Vulnerability Disclosure (DIVD) sieben Schwachstellen bei Kaseya offengelegt.

    Am Samstag berichtete Bloomberg, dass Mitarbeiter aus dem Bereich Software-Engineering und -Entwicklung in den US-Niederlassungen von Kaseya der Unternehmensleitung im Laufe von drei Jahren, von 2017 bis 2020, mehrfach eine Wäscheliste mit “weitreichenden Cybersicherheitsbedenken” vorgelegt hatten. Als die Zeitung Kaseya bat, sich zu den Anschuldigungen der anonymen Mitarbeiter zu äußern, lehnte ein Kaseya-Sprecher dies ab und verwies auf die Richtlinie, sich nicht zu Angelegenheiten zu äußern, die das Personal oder die laufende strafrechtliche Untersuchung des Hacks betreffen.

    UPDATE: Dana Liedholm, Senior Vice President of Corporate Marketing bei Kaseya, erklärte am Montag gegenüber Threatpost, dass das Unternehmen Wichtigeres zu tun habe, als auf “zufällige Spekulationen” zu reagieren: “Kaseya konzentriert sich auf die Kunden, die betroffen sind, und auf die Leute, die tatsächliche Daten haben und versuchen, der Sache auf den Grund zu gehen, und nicht auf zufällige Spekulationen ehemaliger Mitarbeiter oder der breiten Öffentlichkeit”, so Liedholm per E-Mail.

    Ein halbes Dutzend Bugs vom Bäcker

    Die meisten der sieben vom DVID an Kaseya gemeldeten Schwachstellen wurden bei Kaseyas VSA-SaaS-Service gepatcht, aber bis Samstag mussten noch drei Sicherheitslücken bei der VSA-On-Premise-Version gestopft werden. Die Angreifer hatten sich in diese Lücke eingeschlichen, bevor Kaseya die Chance hatte, die VSA-Server vor Ort zu sichern.

    Die drei VSA-On-Premise-Bugs, die Kaseya jetzt ausgemerzt hat:

    • CVE-2021-30116 – Ein Leck in den Anmeldeinformationen und ein Fehler in der Geschäftslogik, enthalten in Version 9.5.7, die am Samstag veröffentlicht wurde.
    • CVE-2021-30119 – Eine Cross-Site-Scripting-Schwachstelle (CSS), enthalten in Version 9.5.7.
    • CVE-2021-30120 – Eine Umgehung der Zwei-Faktor-Authentifizierung (2FA), enthalten in Version 9.5.7.

    Nach dem Angriff am 2. Juli forderte Kaseya VSA-Kunden vor Ort auf, ihre Server herunterzufahren, bis der Patch fertig ist. Um die Sicherheit noch weiter zu erhöhen, empfiehlt Kaseya außerdem, den Netzwerkzugriff auf die VSA-Anwendung/GUI nur auf lokale IP-Adressen zu beschränken, “indem der gesamte eingehende Verkehr mit Ausnahme von Port 5721 (dem Agenten-Port) blockiert wird. Administratoren können nur vom lokalen Netzwerk aus auf die Anwendung zugreifen oder sich über ein VPN mit dem lokalen Netzwerk verbinden.”

    Ältere Bugs

    Neben dem herausragenden Trio von Fehlern, die Kaseya am Sonntag behoben hat, sind dies die anderen vier Schwachstellen, die DIVD offengelegt und Kaseya bereits vor den Angriffen am 2. Juli behoben hat:

    • CVE-2021-30117 – Eine SQL-Injection-Schwachstelle, die mit einem Patch vom 8. Mai behoben wurde.
    • CVE-2021-30118 – Eine Schwachstelle in der Remote-Code-Ausführung (RCE), die mit einem Patch vom 10. April behoben wurde. (v9.5.6)
    • CVE-2021-30121 – Eine Sicherheitslücke bei der lokalen Dateieinbindung (LFI), behoben mit dem Patch vom 8. Mai.
    • CVE-2021-30201 – Eine XML External Entity (XXE)-Schwachstelle, die mit dem Patch vom 8. Mai behoben wurde.

    071221 11:58 UPDATE: Kommentar von Dana Liedholm von Kaseya hinzugefügt.

    Informieren Sie sich über unsere kostenlosen kommenden Live- und On-Demand-Webinar-Veranstaltungen – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com