Kaseya堵塞被REvil利用的零時差安全漏洞

較早前Kaseya因為VSA上三個零時差的安全漏洞,被加密勒索組織REvil所使用而引發全球性供應鏈攻擊,多家MSP和其客戶受到影響,而近日Kaseya終於兌現承諾,對影響深遠的三個安全漏洞作出補丁,堵塞安全缺口。

由重創至回復100%服務

在7月初Kaseya的Virtual System/Server Administrator (VSA)平台受到加密勒索服務(Ransomware-as-a-service)的REvil組織攻擊,引起全球性的供應鏈攻擊,有公司被索取鉅額贖金,受事件影響Kaseya一度停止其雲端服務,並建議本地(On-Premises)的客戶把系統關閉。

Kaseya事後承諾會推出補丁堵塞漏洞,而近日終於推出VSA 9.5.7a (9.5.7.2994) 更新,修復三個被加密勒索程式所利用的零時差漏洞。公司在相關的網頁上表示,在當日早上所有公司的SaaS客戶已回復正常,而公司正努力協助需要幫助的On-Premises客戶進行回復工作。

加密勒索閃電攻擊

在7月2日,REvil利用了那三個VSA零時差漏洞展開超過5000個攻擊,在7月5日全球22個國家都有公司受到影響,當中除了Kaseya的MSP客戶以外,還包括使用其VSA的公司,即是MSP的客戶也受事件牽連。

Kaseya的客戶使用VSA去遙距監察和管理軟件和網絡基礎設施,可通過由Kaseya所管理的零端服務或本地VSA伺服器去進行。隨著加密勒索攻擊發生,CISA和FBI在上週對受害者提供指引,攻擊者很快便因應情況,利用假的Microsoft update散播惡意的執行程式SecurityUpdates,其實是Cobalt Strike後門程式。

在7月6日Kaseya在其網頁中提到,少於60家MSP客戶受影響,但「少於」1500家下游企業受到攻擊。其實Kaseya在攻擊開始時已知道那些臭蟲的存在,在今年4月Dutc Institue for Vulnerability Disclosure (DIVD)已經向Kaseya披露七個安全漏洞。

在外媒報導,自2017年至2020年間,Kaseya美國辦公室的軟件工程及開發員工,曾經多次向公司領導層提出廣泛的網絡安全問題清單,當被問及這個匿名指控時,發言人以不回應涉及人士及正在調查的黑客犯罪為理由拒絕回應。

資料來源: Threat Post