抖圈为赌而生

首页 > 宁静研究 > 宁静通报 > 宁静通告

【漏洞通告】Kaseya VSA 7月多个宁静漏洞

宣布时间 2021-07-12

0x00 漏洞概述

Kaseya VSA是托管服务提供商 (MSP) 常用来管理客户网络的 RMM（远程监控和管理）软件。

2021年7月11日，Kaseya宣布VSA 9.5.7a (9.5.7.2994)的宁静更新，修复了CVE-2021-30116、CVE-2021-30119 和 CVE-2021-30120漏洞，以及会话 cookie 未使用宁静标志、暴力破解和文件上传等问题。

0x01 漏洞详情

今年4月，荷兰漏洞披露研究所 (DIVD) 向 Kaseya 披露了七个漏洞：

CVE-2021-30116：信息泄露漏洞，影响9.5.7 之前的版本。

CVE-2021-30117：SQL 注入漏洞，已在 5 月 8 日的补丁中修复。（VSA 9.5.6）

CVE-2021-30118：远程代码执行漏洞，已在 4 月 10 日的补丁中修复。(v9.5.5)

CVE-2021-30119：XSS漏洞，影响9.5.7 之前的版本。

CVE-2021-30120 ：2FA 绕过漏洞，影响9.5.7 之前的版本。

CVE-2021-30121：当地文件包罗漏洞，已在 5 月 8 日的补丁中修复。（VSA 9.5.6）

CVE-2021-30201：XML 外部实体漏洞，已在 5 月 8 日的补丁中修复。（VSA 9.5.6）

事件详情

2021年7月2日，REvil 团伙利用 Kaseya VSA 软件中的宁静漏洞针对全球多个MSP及其客户提倡供应链攻击。据体现，攻击者可能单独利用或组合利用了CVE-2021-30116、CVE-2021-30119 和 CVE-2021-30120，以绕过认证并运行任意命令。

作为响应，Kaseya建议立即关闭VSA 服务器。之后，可从Internet 访问的 Kaseya VSA 实例数量已从2200 多个下降到不到 140 个。

事后，Kaseya体现，REvil供应链勒索软件攻击入侵了约60个使用该公司VSA内部产物的客户的系统，受害者近1500名，因为他们的网络是由MSP使用Kaseya远程管理工具管理的。此外，Revil的攻击者是通过VSA 产物功效部署勒索软件的，目前没有证据表明 Kaseya 的 VSA 代码库已被改动。

REvil声称已经加密了凌驾 1,000,000 个系统，最初其要求 7000 万美元的赎金，现在要求 5000 万美元购置通用解密器。

影响范围

Kaseya VSA < 9.5.7a

0x02 处置建议

目前这些漏洞已经修复，建议升级至VSA 9.5.7a (9.5.7.2994) 版本。

其它措施

1.Kaseya 敦促客户在安装更新之前遵循“当地 VSA 启动准备指南”步骤，以防止攻击行为。以下是管理员在再次启动 VSA 服务器并将它们连接到 Internet 之前应该执行的基本步骤：（重点：不能从 Internet 果然访问当地 VSA 服务器）

l 确保您的 VSA 服务器是隔离的；

l 检查系统的妥协指标 (IOC) ；

l 安装VSA服务器操作系统补丁；

l 使用 URL Rewrite 控制通过 IIS 对 VSA 的访问；

l 安装 FireEye 署理；

l 删除挂起的脚本/作业。

2.此外，Kaseya 还敦促客户使用他们的PowerShell 脚本的“入侵检测工具”来检测 VSA 服务器或端点是否已被入侵：脚本将检查 VSA 服务器是否存在“Kaseya\webpages\managedfiles\vsaticketfiles\agent.crt”和“Kaseya\webpages\managedfiles\vsaticketfiles\agent.exe”以及“agent.crt”和“agent.exe”在端点上。（注：REvil 团伙使用 agent.crt 和 agent.exe 文件来部署 REvil 勒索软件可执行文件）。

3. 为了提高宁静性，Kaseya 还建议内部部署的 VSA 管理员将对 Web GUI 的访问权限限制为当地 IP 地址和已知宁静产物使用的 IP 地址。

下载链接：

https://helpdesk.kaseya.com/hc/en-gb/articles/4403785889041

https://kaseya.app.box.com/s/0ysvgss7w48nxh8k1xt7fqhbcjxhas40

0x03 参考链接

https://helpdesk.kaseya.com/hc/en-gb/articles/4403785889041

https://mp.weixin.qq.com/s/aoSf0HFH7lOz6bGXGKboNg

https://www.bleepingcomputer.com/news/security/kaseya-patches-vsa-vulnerabilities-used-in-revil-ransomware-attack/

0x04 更新版本

版本	日期	修改内容
V1.0	2021-07-12	首次宣布

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

NVD：nvd.nist.gov

CVSS：www.first.org

0x06 关于抖圈为赌而生

关注以下公众号，获取更多资讯：

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 抖圈为赌而生版权所有京ICP备05032414号京公网安备11010802024551号