【漏洞通告】Kaseya VSA 7月多个安全漏洞

admin
admin
admin
138876
文章
114
评论
2021年11月6日22:49:45评论165 views字数 2125阅读7分5秒阅读模式

0x00 漏洞概述

Kaseya VSA是托管服务提供商 (MSP) 常用来管理客户网络的 RMM(远程监控和管理)软件。

2021年7月11日,Kaseya发布VSA 9.5.7a (9.5.7.2994)的安全更新,修复了CVE-2021-30116、CVE-2021-30119 和 CVE-2021-30120漏洞,以及会话 cookie 未使用安全标志、暴力破解和文件上传等问题。

 

0x01 漏洞详情

【漏洞通告】Kaseya VSA 7月多个安全漏洞

今年4月,荷兰漏洞披露研究所 (DIVD) 向 Kaseya 披露了七个漏洞:

CVE-2021-30116:信息泄露漏洞,影响9.5.7 之前的版本。

CVE-2021-30117:SQL 注入漏洞,已在 5 月 8 日的补丁中修复。(VSA9.5.6)

CVE-2021-30118:远程代码执行漏洞,已在 4 月 10 日的补丁中修复。(v9.5.5)

CVE-2021-30119:XSS漏洞,影响9.5.7之前的版本

CVE-2021-30120 :2FA 绕过漏洞,影响9.5.7 之前的版本

CVE-2021-30121:本地文件包含漏洞,已在 5 月 8 日的补丁中修复。(VSA 9.5.6)

CVE-2021-30201:XML 外部实体漏洞,已在 5 月 8 日的补丁中修复。(VSA9.5.6)

 

事件详情

2021年7月2日,REvil 团伙利用 Kaseya VSA 软件中的安全漏洞针对全球多个MSP及其客户发起供应链攻击。据表示,攻击者可能单独利用或组合利用了CVE-2021-30116、CVE-2021-30119 和 CVE-2021-30120,以绕过认证并运行任意命令。

作为响应,Kaseya建议立即关闭VSA 服务器。之后,可从Internet 访问的 Kaseya VSA 实例数量已从2200 多个下降到不到 140 个。


事后,Kaseya表示,REvil供应链勒索软件攻击入侵了约60个使用该公司VSA内部产品的客户的系统,受害者近1500名,因为他们的网络是由MSP使用Kaseya远程管理工具管理的。此外,Revil的攻击者是通过VSA 产品功能部署勒索软件的,目前没有证据表明 Kaseya 的 VSA 代码库已被篡改。

REvil声称已经加密了超过 1,000,000 个系统,最初其要求 7000 万美元的赎金,现在要求 5000 万美元购买通用解密器。

 

影响范围

Kaseya VSA < 9.5.7a

 

0x02 处置建议

目前这些漏洞已经修复,建议升级至VSA 9.5.7a (9.5.7.2994) 版本。

其它措施

1.Kaseya 敦促客户在安装更新之前遵循“本地 VSA 启动准备指南”步骤,以防止攻击行为。以下是管理员在再次启动 VSA 服务器并将它们连接到 Internet 之前应该执行的基本步骤:(重点:不能从 Internet 公开访问本地 VSA 服务器)

  • 确保您的 VSA 服务器是隔离的 ;

  • 检查系统的妥协指标 (IOC)  ;

  • 安装VSA服务器操作系统补丁 ;

  • 使用 URL Rewrite 控制通过 IIS 对 VSA 的访问 ;

  • 安装 FireEye 代理 ;

  • 删除挂起的脚本/作业。

 

2.此外,Kaseya 还敦促客户使用他们的PowerShell 脚本的“入侵检测工具”来检测 VSA 服务器或端点是否已被入侵:脚本将检查 VSA 服务器是否存在“Kaseyawebpagesmanagedfilesvsaticketfilesagent.crt”和“Kaseyawebpagesmanagedfilesvsaticketfilesagent.exe”以及“agent.crt”和“agent.exe”在端点上。(注:REvil 团伙使用 agent.crt 和 agent.exe 文件来部署 REvil 勒索软件可执行文件)。

 

3.为了提高安全性,Kaseya 还建议内部部署的 VSA 管理员将对 Web GUI 的访问权限限制为本地 IP 地址和已知安全产品使用的 IP 地址。

 

下载链接:

https://helpdesk.kaseya.com/hc/en-gb/articles/4403785889041

https://kaseya.app.box.com/s/0ysvgss7w48nxh8k1xt7fqhbcjxhas40

 

0x03 参考链接

https://helpdesk.kaseya.com/hc/en-gb/articles/4403785889041

https://mp.weixin.qq.com/s/aoSf0HFH7lOz6bGXGKboNg

https://www.bleepingcomputer.com/news/security/kaseya-patches-vsa-vulnerabilities-used-in-revil-ransomware-attack/

 

0x04 更新版本

版本

日期

修改内容

V1.0

2021-07-12

首次发布

 

0x05 文档附录

CNVD:www.cnvd.org.cn

CNNVD:www.cnnvd.org.cn

CVE:cve.mitre.org

NVD:nvd.nist.gov

CVSS:www.first.org

 

0x06 关于我们

关注以下公众号,获取更多资讯:

【漏洞通告】Kaseya VSA 7月多个安全漏洞   【漏洞通告】Kaseya VSA 7月多个安全漏洞

         

 

 


本文始发于微信公众号(维他命安全):【漏洞通告】Kaseya VSA 7月多个安全漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月6日22:49:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞通告】Kaseya VSA 7月多个安全漏洞https://cn-sec.com/archives/419274.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息