El proveedor de software con sede en Florida, Kaseya, lanzó el domingo actualizaciones urgentes para abordar las vulnerabilidades de seguridad críticas en su solución Virtual System Administrator (VSA) que se utilizó como punto de partida para apuntar hasta 1,500 empresas en todo el mundo como parte de un suministro generalizado. -ataque de ransomware en cadena .
Después del incidente, la compañía había instado a los clientes de VSA locales a apagar sus servidores hasta que hubiera un parche disponible. Ahora, casi 10 días después, la empresa ha enviado la versión 9.5.7a (9.5.7.2994) de VSA con correcciones para tres nuevas fallas de seguridad:
- CVE-2021-30116 : fuga de credenciales y falla de lógica empresarial
- CVE-2021-30119 : vulnerabilidad de secuencias de comandos entre sitios
- CVE-2021-30120 : omisión de autenticación de dos factores
Los problemas de seguridad son parte de un total de siete vulnerabilidades que fueron descubiertas e informadas a Kaseya por el Instituto Holandés de Divulgación de Vulnerabilidades ( DIVD ) a principios de abril, de las cuales otras cuatro debilidades fueron subsanadas en versiones anteriores:
- CVE-2021-30117 : vulnerabilidad de inyección de SQL (corregida en VSA 9.5.6)
- CVE-2021-30118 : vulnerabilidad de ejecución remota de código (corregida en VSA 9.5.5)
- CVE-2021-30121 : vulnerabilidad de inclusión de archivos locales (corregida en VSA 9.5.6)
- CVE-2021-30201 : vulnerabilidad de entidad externa XML (corregida en VSA 9.5.6)
Además de las correcciones para las deficiencias mencionadas anteriormente, la última versión también resuelve otras tres fallas, incluido un error que expuso hash de contraseña débiles en ciertas respuestas de API a ataques de fuerza bruta, así como una vulnerabilidad separada que podría permitir la carga no autorizada de archivos al VSA. servidor.
Para mayor seguridad, Kaseya recomienda limitar el acceso a la GUI web de VSA a las direcciones IP locales bloqueando el puerto 443 entrante en el firewall de Internet para instalaciones locales.
Kaseya también advierte a sus clientes que la instalación del parche obligaría a todos los usuarios a cambiar obligatoriamente sus contraseñas después del inicio de sesión para cumplir con los nuevos requisitos de contraseña, y agregó que algunas funciones se han reemplazado con alternativas mejoradas y que la versión introduce algunos defectos funcionales que serán corregidos. en una versión futura «.
Además de la implementación del parche para las versiones locales de su software de administración y monitoreo remoto VSA, la compañía también ha creado una instancia del restablecimiento de su infraestructura VSA SaaS. «La restauración de los servicios está progresando según el plan, con el 60% de nuestros clientes de SaaS en vivo y los servidores en línea para el resto de nuestros clientes en las próximas horas», dijo Kaseya en un aviso continuo.
El último desarrollo se produce días después de que Kaseya advirtiera que los spammers están capitalizando la actual crisis de ransomware para enviar notificaciones de correo electrónico falsas que parecen ser actualizaciones de Kaseya, solo para infectar a los clientes con cargas útiles de Cobalt Strike para obtener acceso de puerta trasera a los sistemas y entregar la siguiente etapa. malware.
Kaseya ha dicho que varias fallas se encadenaron juntas en lo que llamó un «ciberataque sofisticado», y aunque no está exactamente claro cómo se ejecutó, se cree que una combinación de CVE-2021-30116, CVE-2021-30119 y Se utilizó CVE-2021-30120 para realizar las intrusiones. REvil, una prolífica banda de ransomware con sede en Rusia, se ha atribuido la responsabilidad del incidente.
El uso de socios confiables como fabricantes de software o proveedores de servicios como Kaseya para identificar y comprometer a nuevas víctimas posteriores, a menudo llamado ataque a la cadena de suministro, y emparejarlo con infecciones de ransomware de cifrado de archivos también lo ha convertido en uno de los más grandes e importantes de este tipo. ataques hasta la fecha.
Curiosamente, Bloomberg informó el sábado que cinco ex empleados de Kaseya habían señalado a la compañía sobre agujeros de seguridad «evidentes» en su software entre 2017 y 2020, pero sus preocupaciones fueron ignoradas.
«Entre los problemas más evidentes se encontraba el software respaldado por un código obsoleto, el uso de contraseñas y cifrado débiles en los productos y servidores de Kaseya, la falta de cumplimiento de las prácticas básicas de ciberseguridad, como la aplicación periódica de parches al software, y un enfoque en las ventas a expensas de otras prioridades. «, decía el informe .
El ataque de Kaseya marca la tercera vez que los afiliados de ransomware han abusado de los productos de Kaseya como vector para implementar ransomware.
En febrero de 2019 , el cartel de ransomware Gandcrab, que luego evolucionó a Sodinokibi y REvil , aprovechó una vulnerabilidad en un complemento de Kaseya para el software ConnectWise Manage para implementar ransomware en las redes de las redes de clientes de MSP. Luego, en junio de 2019 , el mismo grupo fue tras los productos Webroot SecureAnywhere y Kaseya VSA para infectar terminales con el ransomware Sodinokibi.
Fuente: https://thehackernews.com/2021/07/kaseya-releases-patches-for-flaws.html
