Хакер #305. Многошаговые SQL-инъекции
Ранее в этом месяце клиенты поставщика MSP-решений Kaseya пострадали от масштабной атаки шифровальщика REvil (Sodinokibi). Хакеры использовали 0-day уязвимости в продукте компании (VSA) и атаковали клиентов Kaseya.
Проблема заключается в том, что большинство пострадавших серверов VSA использовались MSP-провайдерами, то есть компаниями, которые управляют инфраструктурой других клиентов. А значит, злоумышленники развернули шифровальщика в тысячах корпоративных сетей. По официальным данным, компрометация затронула около 60 клиентов Kaseya, через инфраструктуру которых хакеры смогли зашифровать примерно 800-1500 корпоративных сетей.
Kaseya VSA — это решение для удаленного управления и мониторинга, которое обычно используется MSP-провайдерами для поддержки своих клиентов. Компания может развернуть VSA локально, используя собственные серверы, а может использовать облачное SaaS-решение Kaseya.
Ранее Голландский институт раскрытия уязвимостей (DIVD) сообщал, что выявил семь уязвимостей в продуктах Kaseya:
- CVE-2021-30116: утечка учетных данных и проблема в бизнес-логике, патч будет включен в 9.5.7;
- CVE-2021-30117: SQL-инъекция, исправлена патчем от 8 мая 2021 года;
- CVE-2021-30118: RCE-уязвимость, устранена 10 апреля 2021 года;
- CVE-2021-30119: XSS-уязвимость, патч будет включен в 9.5.7;
- CVE-2021-30120: обход двухфакторной аутентификации, патч будет включен в 9.5.7;
- CVE-2021-30121: уязвимость типа local file inclusion, исправлена патчем от 8 мая 2021 года;
- CVE-2021-30201: уязвимость типа XML External Entity, исправлена патчем от 8 мая 2021 года.
Как можно понять из списка выше, Kaseya уже внедрила исправления для большинства уязвимостей в SaaS-версию VSA, но не успела завершить выпуск патчей для локальной версии продукта, чем и воспользовались операторы REvil. Доподлинно неизвестно, какие уязвимости эксплуатировали хакеры, но предполагается, что это была одна из уязвимостей CVE-2021-30116, CVE-2021-30119 и CVE-2021-30120, или их сочетание.
После атаки представители Kaseya призывал клиентов отключить VSA до тех пор, пока не будут готовы исправления. Теперь, спустя почти десять дней после инцидента, компания наконец выпустила обновленную версию VSA 9.5.7a (9.5.7.2994), в которой устранила последние баги, использованные REvil (CVE-2021-30116, CVE-2021-30119 и CVE-2021-30120). Также в этой версии были исправлены другие проблемы:
- исправлена ошибка, из-за которой для файлов cookie User Portal не использовался флаг безопасности;
- исправлена проблема, из-за которой некоторые ответы API содержали хэши паролей, потенциально подвергая любые слабые пароли брутфорс-атакам;
- исправлена уязвимость, которая допускала несанкционированную загрузку файлов на сервер VSA.
В компании подчеркивают, что локальные серверы VSA ни в коем случае не должны быть доступны из интернета при установке исправления и до этого. Также разработчики Kaseya призывают клиентов использовать инструмент Compromise Detection Tool (набор PowerShell-скриптов, который помогает определить, был ли взломан VSA-сервер или эндпоинты).