فروشنده نرم افزار مستقر در فلوریدا Kaseya روز یکشنبه به روزرسانی های فوری را برای رفع آسیب پذیری های امنیتی مهم در راه حل Virtual System Administrator (VSA) خود انجام داد که به عنوان نقطه پرش برای هدف قرار دادن 1500 تجارت در سراسر جهان به عنوان بخشی از عرضه گسترده مورد استفاده قرار گرفت.
به دنبال این حادثه ، این شرکت از مشتریان پیش فرض VSA خواسته بود تا زمان در دسترس بودن پچ ، سرورهای خود را خاموش کنند. اکنون ، تقریباً 10 روز بعد ، شرکت VSA نسخه 9.5.7a (9.5.7.2994) را با رفع سه نقص امنیتی جدید ارسال کرده است.
- CVE-2021-30116 – نشت اعتبارنامه و نقص منطق تجاری
- CVE-2021-30119 – آسیب پذیری برنامه نویسی بین سایت
- CVE-2021-30120 – بای پس احراز هویت دو عاملی
علاوه بر رفع ایرادات فوق ، آخرین نسخه همچنین سه نقص دیگر را برطرف می کند ، از جمله اشکالی که در برخی از پاسخهای API به برخی از API ها در برابر حملات بی رحمانه ، هش رمز عبور ضعیف را نشان می دهد و همچنین یک آسیب پذیری جداگانه است که می تواند اجازه بارگذاری غیر مجاز پرونده ها به VSA را فراهم کند.
برای امنیت بیشتر ، Kaseya توصیه می کند با مسدود کردن پورت 443 ورودی در فایروال اینترنت ، دسترسی به VSA Web GUI به آدرس های IP محلی را محدود کنید.
Kaseya همچنین به مشتریان خود هشدار می دهد که نصب پچ همه کاربران را مجبور می کند گذرواژه های خود را پس از ورود به سیستم تغییر دهند تا نیازهای جدید رمز عبور را برآورده کنند.
علاوه بر راه اندازی وصله نسخه های داخلی نرم افزار مدیریت و نظارت از راه دور VSA ، این شرکت همچنین احیای مجدد زیرساخت VSA SaaS خود را انجام داده است. Kaseya در یک مشاوره گفت: “ترمیم خدمات مطابق برنامه در حال پیشرفت است ، 60٪ از مشتریان SaaS ما زنده هستند و سرورها در ساعات آینده برای بقیه مشتریان آنلاین می شوند.”
آخرین تحولات چند روز پس از هشدار Kaseya صورت گرفت که اسپمرها از بحران جاری باج افزار در حال استفاده هستند تا اعلان های ایمیل جعلی را ارسال کنند که به نظر می رسد به روزرسانی Kaseya است ،که فقط برای آلوده کردن مشتریان به بارهای Cobalt Strike برای دسترسی پس از ورود به سیستم و تحویل مرحله بعدی بد افزار استفاده میشود.
Kaseya گفته است كه عیب های متعددی در حمله سایبری پیچیده خوانده شده است ، به هم متصل شده اند ، اما اعتقاد بر این است كه برای انجام نفوذها از تركیبات CVE-2021-30116 ، CVE-2021-30119 و CVE-2021-30120 استفاده شده است . REvil ، باند باج افزار پرکار مستقر در روسیه ، مسئولیت این حادثه را به عهده گرفت.
استفاده از شرکای معتمد مانند سازندگان نرم افزار یا ارائه دهندگان خدمات مانند Kaseya برای شناسایی و به خطر انداختن قربانیان پایین دستی جدید ، که اغلب حمله زنجیره تامین نامیده می شود و جفت کردن آن با عفونت های باج افزار رمزگذاری پرونده ، آن را نیز به یکی از بزرگترین و مهمترین موارد تبدیل کرده است.
جالب است که بلومبرگ روز شنبه گزارش داد که پنج کارمند سابق Kaseya این شرکت را در مورد آشکار کردن حفره های امنیتی در نرم افزار خود بین سال های 2017 و 2020 پرچم گذاری کرده اند ، نگرانی های آنها برطرف شده است.
از جمله بارزترین مشکلات ، نرم افزاری است که توسط کد منسوخ شده ، استفاده از رمزگذاری ضعیف و رمزهای عبور در محصولات و سرورهای Kaseya و عدم پایبندی به اصول اساسی امنیت سایبری مانند وصله مرتب نرم افزار و تمرکز بر فروش به هزینه سایر اولویت ها وجود دارد در این گزارش آمده است.حمله Kaseya سومین باری است که شرکت های وابسته به باج افزار از محصولات Kaseya به عنوان بردار برای استقرار باج افزار سو استفاده می کنند.