El proveedor de software con sede en Florida, Kaseya, lanzó el domingo actualizaciones urgentes para abordar las vulnerabilidades de seguridad críticas en su solución Virtual System Administrator (VSA) que se utilizó como punto de partida para apuntar a hasta 1500 empresas en todo el mundo como parte de un suministro generalizado. -ataque de ransomware en cadena.

Luego del incidente, la compañía había instado a los clientes de VSA locales a apagar sus servidores hasta que hubiera un parche disponible. Ahora, casi 10 días después, la empresa envió la versión 9.5.7a (9.5.7.2994) de VSA con correcciones para tres nuevas fallas de seguridad:

• CVE-2021-30116 – Fuga de credenciales y falla de lógica de negocios
• CVE-2021-30119 – Vulnerabilidad de secuencias de comandos entre sitios
• CVE-2021-30120 – Omisión de autenticación de dos factores

Los problemas de seguridad son parte de un total de siete vulnerabilidades que fueron descubiertas e informadas a Kaseya por el Instituto Holandés para la Divulgación de Vulnerabilidades (DIVD) a principios de abril, de las cuales otras cuatro debilidades fueron reparadas en versiones anteriores:

• CVE-2021-30117 – Vulnerabilidad de inyección SQL (corregida en VSA 9.5.6)
• CVE-2021-30118 – Vulnerabilidad de ejecución remota de código (corregido en VSA 9.5.5)
• CVE-2021-30121 – Vulnerabilidad de inclusión de archivos locales (corregido en VSA 9.5.6)
• CVE-2021-30201 – Vulnerabilidad de entidad externa XML (corregido en VSA 9.5.6)

Además de corregir las deficiencias antes mencionadas, la última versión también resuelve otras tres fallas, incluido un error que expuso hashes de contraseña débiles en ciertas respuestas de API a ataques de fuerza bruta, así como una vulnerabilidad separada que podría permitir la carga no autorizada de archivos al VSA. servidor.

Para mayor seguridad, Kaseya recomienda limitar el acceso a la GUI web de VSA a direcciones IP locales mediante el bloqueo del puerto 443 de entrada en el firewall de Internet para instalaciones locales.

Kaseya también advierte a sus clientes que la instalación del parche obligaría a todos los usuarios a cambiar obligatoriamente sus contraseñas después del inicio de sesión para cumplir con los nuevos requisitos de contraseña, y agregó que las funciones seleccionadas se han reemplazado con alternativas mejoradas y que la «versión presenta algunos defectos funcionales que se corregirán». en una publicación futura».

Además del lanzamiento del parche para las versiones locales de su software de administración y monitoreo remoto VSA, la compañía también ha instanciado el restablecimiento de su infraestructura VSA SaaS. «La restauración de los servicios avanza según lo planeado, con el 60 % de nuestros clientes de SaaS activos y los servidores en línea para el resto de nuestros clientes en las próximas horas», dijo Kaseya en un aviso continuo.

El último desarrollo se produce días después de que Kaseya advirtiera que los spammers están aprovechando la actual crisis de ransomware para enviar notificaciones de correo electrónico falsas que parecen ser actualizaciones de Kaseya, solo para infectar a los clientes con cargas útiles de Cobalt Strike para obtener acceso de puerta trasera a los sistemas y entregar la siguiente etapa. programa malicioso

Kaseya ha dicho que se encadenaron múltiples fallas en lo que llamó un «ataque cibernético sofisticado» y, aunque no está exactamente claro cómo se ejecutó, se cree que una combinación de CVE-2021-30116, CVE-2021-30119 y Se utilizó CVE-2021-30120 para llevar a cabo las intrusiones. REvil, una prolífica pandilla de ransomware con sede en Rusia, se ha atribuido la responsabilidad del incidente.

El uso de socios confiables, como fabricantes de software o proveedores de servicios como Kaseya, para identificar y comprometer a nuevas víctimas posteriores, a menudo llamado ataque a la cadena de suministro, y combinarlo con infecciones de ransomware de cifrado de archivos también lo ha convertido en uno de los más grandes y significativos. ataques hasta la fecha.

Curiosamente, Bloomberg informó el sábado que cinco ex empleados de Kaseya habían señalado a la empresa sobre agujeros de seguridad «evidentes» en su software entre 2017 y 2020, pero sus preocupaciones fueron descartadas.

«Entre los problemas más evidentes se encontraba el software respaldado por un código desactualizado, el uso de cifrado y contraseñas débiles en los productos y servidores de Kaseya, la falta de cumplimiento de las prácticas básicas de ciberseguridad, como parchear el software con regularidad, y un enfoque en las ventas a expensas de otras prioridades. ”, decía el informe.

El ataque de Kaseya marca la tercera vez que los afiliados de ransomware han abusado de los productos de Kaseya como vector para implementar ransomware.

En febrero de 2019, el cartel de ransomware Gandcrab, que luego se convirtió en Sodinokibi y REvil, aprovechó una vulnerabilidad en un complemento de Kaseya para que el software ConnectWise Manage implementara ransomware en las redes de los clientes de los MSP. Luego, en junio de 2019, el mismo grupo persiguió los productos Webroot SecureAnywhere y Kaseya VSA para infectar puntos finales con el ransomware Sodinokibi.