48 3052-8500

Kaseya lança patches para vulnerabilidades exploradas no recente ataque ransomware - OSTEC | Segurança digital de resultados

Geral 3min de Leitura - 14 de julho de 2021

Kaseya lança patches para vulnerabilidades exploradas no recente ataque ransomware

Logo Kaseya em celular

This post is also available in: Português

A provedora de soluções de gerenciamento de TI Kaseya, com sede na Flórida, lançou atualizações urgentes para as vulnerabilidades críticas de segurança em sua solução Virtual System Administrador (VSA) exploradas no recente ataque de ransomware que atingiu 1.500 empresas em todo o mundo. A empresa também começou a restaurar os serviços SaaS.

A empresa pediu aos clientes locais do VSA que desligassem seus servidores até que um patch estivesse disponível. Agora, quase 10 dias depois, a Kaseya enviou o VSA versão 9.5.7a (9.5.7.2994) com correções para três novas falhas de segurança.

  • CVE-2021-30116 – vazamento de credenciais e falha de lógica de negócios
  • CVE-2021-30119 – vulnerabilidade de script entre sites
  • CVE-2021-30120 – ignorar autenticação de dois fatores

Os problemas de segurança fazem parte de um total de sete vulnerabilidades que foram descobertas e relatadas à Kaseya pelo Instituto Holandês para Divulgação de Vulnerabilidades (DIVD) no início de abril, das quais quatro outras deficiências foram corrigidas em versões anteriores.

  • CVE-2021-30117 – vulnerabilidade de injeção de SQL (corrigido no VSA 9.5.6)
  • CVE-2021-30118 – vulnerabilidade de execução remota de código (corrigido no VSA 9.5.5)
  • CVE-2021-30121 – vulnerabilidade de inclusão de arquivo local (corrigido no VSA 9.5.6)
  • CVE-2021-30201 – vulnerabilidade de entidade externa XML (corrigido no VSA 9.5.6)

Além das correções para as vulnerabilidades mencionadas, a versão mais recente também resolve três outras falhas, incluindo um bug que expôs hashes de senhas fracas em certas respostas de API para ataques de força bruta, bem como uma vulnerabilidade separada, que poderia permitir o upload não autorizado de arquivos para o VSA servidor.

A Kaseya recomenda limitar o acesso ao VSA Web GUI aos endereços IP locais bloqueando a entrada da porta 443 no firewall da internet para instalações locais.

A empresa também está alertando seus clientes sobre a instalação do patch, que força todos os usuários a alterar obrigatoriamente suas senhas após o login para atender aos novos requisitos de senha, acrescentando que alguns recursos foram substituídos por alternativas melhoradas e que a versão “apresenta alguns defeitos que serão corrigidos em uma versão futura”.

Além da implementação do patch para as versões locais de seu software de gerenciamento e monitoramento remoto VSA, a empresa também instanciou o restabelecimento de sua infraestrutura VSA SaaS.

Em um comunicado, a Kaseya disse:

“A restauração dos serviços está progredindo de acordo com o planejado, com 60% de nossos clientes SaaS ativos e servidores online para o restante de nossos clientes nas próximas horas”.

Crise contínua de ransomware

A Kaseya advertiu alguns dias atrás, que os spammers estão capitalizando na crise contínua de ransomware para enviar notificações por e-mail falsas que parecem ser atualizações da Kaseya, apenas para infectar clientes com payloads Cobalt Strike, para obter acesso aos sistemas.

A empresa disse que varias falhas foram encadeadas no que chamou de “ataque cibernético sofisticado” e, embora não seja exatamente claro como foi executado, acredita-se que uma combinação de CVE-2021-30116, CVE-2021-30119 3 CVE-2021-30120 foi usado para realizar as instruções.

O grupo de ransomware REvil, com base na Rússia, assumiu a responsabilidade pelo incidente.

O uso de parceiros confiáveis como fabricantes de software ou provedores de serviços como a Kaseya para identificar e comprometer novas vítimas, fez deste ataque um dos maiores e mais significativos até o momento.

O blog Bloomberg relatou no último sábado que cinco ex-funcionários da Kaseya sinalizaram para a empresa sobre falhas de segurança em seu software entre 2017 e 2020, mas suas preocupações foram ignoradas.

Segundo relatório da Bloomberg:

“Entre os problemas mais flagrados, estava o software sustentado por código desatualizado, o uso de criptografia e senhas fracas nos produtos e servidores da Kaseya, o não cumprimento das práticas básicas de segurança cibernética, como patching regular de software e foco nas vendas em detrimento de outras prioridades”.

Fontes: Cyware, Bloomberg, Kaseya.

This post is also available in: Português

LinkedIn é alvo de novo vazamento

Postagem anterior