Kaseya, REvil fidye yazılımı çetesi tarafından MSP’lere ve müşterilerine saldırmak için kullanılan VSA için güvenlik güncelleştirmeleri yayınladı. Kaseya VSA, MSP hizmeti veren sağlayıcılar tarafından kullanılan uzaktan yönetim ve monitoring çözümü. Hizmet sağlayıcılar kurumlara bu yazılımı dağıtarak cloud-based SaaS solution hizmeti verebilmekte.
Nisan ayında, Dutch Institute for Vulnerability Disclosure (DIVD), Kaseya’ya yönelik yedi güvenlik açığını açıklamış ve Kaseya aşağıdaki güncellemeleri yayınlamıştı.
Kaseya tarafından yayınlanan güncellemeler şöyleydi:
- CVE-2021-30116 – A credentials leak and business logic flaw, to be included in 9.5.7
- CVE-2021-30117 – An SQL injection vulnerability, resolved in May 8th patch.
- CVE-2021-30118 – A Remote Code Execution vulnerability, resolved in April 10th patch. (v9.5.6)
- CVE-2021-30119 – A Cross Site Scripting vulnerability, to be included in 9.5.7
- CVE-2021-30120 – 2FA bypass, to be resolved in v9.5.7
- CVE-2021-30121 – A Local File Inclusion vulnerability, resolved in May 8th patch.
- CVE-2021-30201 – A XML External Entity vulnerability, resolved in May 8th patch.
Kaseya, VSA SaaS hizmetlerindeki güvenlik açıklarının çoğu için yamalamıştı, ancak VSA’nın on-premise tarafı için yamalar tamamlanmamıştı, sonrasında REvil fidye yazılımı çetesi Kaseya’ın bu güvenlik açıklarından yararlanarak 2 Temmuz’da şirket içi VSA sunucularını ve 1.500 kurumsal müşteriyi kapsayan yaklaşık 60 MSP büyük bir saldırıya uğradı.
Saldırıda hangi güvenlik açıklarının kullanıldığı belli değil, ancak CVE-2021-30116, CVE-2021-30119 ve CVE-2021-30120’nin ortak olarak kullanıldığı düşünülüyor.
Kaseya Güvenlik Güncellemelerini Yayınladı
Saldırıdan bu yana Kaseya, şirket içi VSA müşterilerini bir yama hazır olana kadar sunucularını kapatmaya çağırdı.
Saldırılardan neredeyse on gün sonra Kaseya, REvil fidye yazılımı saldırısında kullanılan güvenlik açıklarını gidermek için VSA 9.5.7a (9.5.7.2994) güncellemesini yayınladı.
Bu sürümle Kaseya, aşağıdaki güvenlik açıklarını düzeltti:
- Kimlik bilgileri sızıntısı ve iş mantığı hatası: CVE-2021-30116
- Siteler arası komut dosyası güvenlik açığı: CVE-2021-30119
- 2FA baypas: CVE-2021-30120
- Kullanıcı Portalı oturum tanımlama bilgileri için güvenli bayrağın kullanılmaması sorunu düzeltildi.
- Belirli API yanıtlarının bir parola karması içermesi ve potansiyel olarak zayıf parolaların DoS saldırısına maruz kalması sorunu düzeltildi. Parola artık tamamen maskelenmiştir.
- Dosyaların VSA sunucusuna yetkisiz yüklenmesine izin verebilecek bir güvenlik açığı düzeltildi.
Ancak Kaseya, daha fazla ihlali önlemek ve cihazların güvenliğinin ihlal edilmediğinden emin olmak için güncellemeyi yüklemeden önce müşterileri ‘Şirket İçi VSA Başlangıç Hazırlık Kılavuzu ‘ adımlarını takip etmeyi öneriyor.
Aşağıda, yöneticilerin VSA sunucularını yeniden başlatmadan ve onları internet’e bağlamadan önce gerçekleştirmesi gereken temel adımlar şöyle listeliyor.
- VSA sunucunuzun izole olduğundan emin olun.
- Uzlaşma Göstergeleri (IOC) için Sistemi kontrol edin.
- VSA Sunucularının işletim sistemlerini yamalayın.
- IIS aracılığıyla VSA’ya erişimi kontrol etmek için URL yeniden yazma’yı kullanın.
- FireEye Agent’ı yükleyin
- Bekleyen komut dosyalarını/işleri Kaldırın
Bu adımları uygularken ve yamayı yüklerken güvenlik ihlalini önlemek için şirket içi VSA sunucularının internete açık olmaması veya açık olsa bile restriction uygulanması büyük önem taşıyor. Kaseya ayrıca müşterilerini, bir VSA sunucusunun veya uç noktaların güvenliğinin ihlal edilip edilmediğini tespit etmek için bir PowerShell script’i olan “Compromise Detection Tool”u kullanmayı öneriyor.
Komut dosyaları, VSA sunucularında ‘Kaseya\webpages\managedfiles\vsaticketfiles\agent.crt’ ve ‘Kaseya\webpages\managedfiles\vsaticketfiles\agent.exe’ ve ‘agent.crt’ ve ‘agent.exe’ olup olmadığını kontrol ediyor. Bunun nedeni REvil fidye yazılımı, çalıştırılabilir dosyasını dağıtmak için agent.crt ve agent.exe dosyalarını kullandığının tespit edilmesi.
Ek güvenlik için Kaseya ayrıca şirket içi VSA yöneticisinin web gui’e erişimi için kullanılan yerel ip restriction uygulamasını öneriyor.
Kaynak: bleepingcomputer.com