Tecnología

Kaseya parchea las vulnerabilidades de VSA utilizadas en el ataque de ransomware REvil

Kaseya

Kaseya ha publicado una actualización de seguridad para las vulnerabilidades de día cero de VSA utilizadas por la banda de ransomware REvil para atacar a los MSP y sus clientes.

Kaseya VSA es una solución de monitorización y gestión remota que suelen utilizar los proveedores de servicios gestionados para dar soporte a sus clientes. Los MSP pueden implementar VSA en las instalaciones utilizando sus servidores o utilizar la solución SaaS basada en la nube de Kaseya.

En abril, el Instituto Holandés de Divulgación de Vulnerabilidades (DIVD) reveló siete vulnerabilidades a Kaseya:

  • CVE-2021-30116 – Una fuga de credenciales y una falla en la lógica empresarial, que se incluirán en 9.5.7
  • CVE-2021-30117 – Una vulnerabilidad de inyección de SQL, resuelta en el parche del 8 de mayo.
  • CVE-2021-30118 – Una vulnerabilidad de ejecución remota de código, resuelta en el parche del 10 de abril. (v9.5.6)
  • CVE-2021-30119 – Una vulnerabilidad de Cross Site Scripting, que se incluirá en 9.5.7
  • CVE-2021-30120 – Bypass 2FA, que se resolverá en v9.5.7
  • CVE-2021-30121 – Una vulnerabilidad de inclusión de archivos locales, resuelta en el parche del 8 de mayo.
  • CVE-2021-30201 – Una vulnerabilidad de entidad externa XML, resuelta en el parche del 8 de mayo.

Kaseya había implementado parches para la mayoría de las vulnerabilidades en su servicio VSA SaaS, pero no había completado los parches para la versión local de VSA.

Desafortunadamente, la banda de ransomware REvil venció a Kaseya hasta la línea de meta y utilizó estas vulnerabilidades para lanzar un ataque masivo el 2 de julio contra aproximadamente 60 MSP que usaban servidores VSA locales y 1,500 clientes comerciales.

No está claro qué vulnerabilidades se utilizaron en el ataque, pero se cree que es una o una combinación de CVE-2021-30116, CVE-2021-30119 y CVE-2021-30120.

Kaseya lanza actualizaciones de seguridad

Desde el ataque, Kaseya ha instado a los clientes de VSA en las instalaciones a apagar sus servidores hasta que haya un parche listo.

Casi diez días después de los ataques, Kaseya ha lanzó la actualización VSA 9.5.7a (9.5.7.2994) para corregir las vulnerabilidades utilizadas en el ataque de ransomware REvil.

Con esta versión, Kaseya ha solucionado las siguientes vulnerabilidades:

  • Leaks de credenciales y falla de lógica empresarial: CVE-2021-30116
  • Vulnerabilidad de secuencias de comandos entre sitios: CVE-2021-30119
  • Derivación 2FA: CVE-2021-30120
  • Se solucionó un problema por el cual la bandera segura no se usaba para las cookies de sesión del Portal de usuario.
  • Se solucionó un problema por el cual ciertas respuestas de la API contenían un hash de contraseña, lo que podría exponer cualquier contraseña débil a un ataque de fuerza bruta. El valor de la contraseña ahora está completamente enmascarado.
  • Se corrigió una vulnerabilidad que podía permitir la carga no autorizada de archivos al servidor VSA.

Sin embargo, Kaseya insta a los clientes a seguir el ‘Guía de preparación para la puesta en marcha de VSA en las instalaciones‘antes de instalar la actualización para evitar más infracciones y asegurarse de que los dispositivos no estén ya comprometidos.

A continuación, se muestran los pasos básicos que los administradores deben realizar antes de volver a iniciar los servidores VSA y conectarlos a Internet:

  • Asegúrese de que su servidor VSA esté aislado
  • Compruebe el sistema en busca de indicadores de compromiso (IOC)
  • Aplicar parches a los sistemas operativos de los servidores VSA
  • Uso de URL Rewrite para controlar el acceso a VSA a través de IIS
  • Instalar el agente FireEye
  • Eliminar scripts / trabajos pendientes

De estos pasos, es fundamental que los servidores VSA locales no sean de acceso público desde Internet para evitar riesgos durante la instalación del parche.

Kaseya también insta a los clientes a utilizar su «Herramienta de detección de compromisos», una colección de scripts de PowerShell para detectar si un servidor VSA o puntos finales se han visto comprometidos.

Los scripts comprobarán los servidores VSA para detectar la presencia de ‘Kaseya webpages managedfiles vsaticketfiles agent.crt’ y ‘Kaseya webpages managedfiles vsaticketfiles agent.exe’, y ‘agent.crt’ y ‘agent.exe’ en los puntos finales.

El afiliado de REvil utilizó los archivos agent.crt y agent.exe para implementar el ejecutable del ransomware REvil.

Para mayor seguridad, Kaseya también sugiere que el administrador de VSA local restrinja el acceso a la GUI web a direcciones IP locales y aquellas que se sabe que son utilizadas por productos de seguridad.

«Para las instalaciones de VSA en las instalaciones, recomendamos limitar el acceso a la GUI web de VSA a las direcciones IP locales bloqueando el puerto 443 entrante en su firewall de Internet. Algunas integraciones pueden requerir acceso entrante a su servidor VSA en el puerto 443. A continuación se muestra una lista de direcciones IP que puede incluir en la lista blanca en su firewall (permita 443 de entrada a FROM), si está utilizando estas integraciones con su producto VSA On-Premises «. explica Kaseya.

Después de instalar el parche, todos los usuarios deberán cambiar su contraseña a una que utilice nuevos requisitos de contraseña.

Leave a Comment

You may also like

Más