Kaseya a lansat patch-uri pentru remedierea vulnerabilităților exploatate de ransomware-ul REvil
Kaseya a lansat un patch pentru remedierea vulnerabilităților exploatate în cel mai recent atac ransomware al grupării REvil. Află mai jos noutățile!
Atacul ransomware asupra companiei americane Kaseya a exploatat rețelele a mii de companii și instituții publice din întreaga lume, care au fost forțate să își suspende activitatea.
Vulnerabilitatea identificată a fost o actualizare rău intenționată, folosită pentru a instala o versiune a ransomware-ului REvil de pe serverul VSA pe toate stațiile de lucru conectate, infectând rețelele companiilor terțe care au fost conectate la sistemele VSA atacate. Hackerii au restricționat accesul la date, utilizând criptarea lor, până la plata unei răscumpărări. Aceștia au cerut 70 de milioane de dolari pentru redarea accesului la datele colectate.
Breșa de securitate informatică a fost bine gândită, deoarece s-a produs vineri după-masa (2 iulie), înaintea weekend-ului în care SUA sărbătorește Ziua Independenței.
De la atac, compania a cerut clienților care dețin VSA local să își oprească serverele până când lansează un patch. La aproape zece zile de la atac, Kaseya a lansat actualizarea VSA 9.5.7a (9.5.7.2994) pentru a remedia vulnerabilitățile utilizate în atacul ransomware REvil.
Cu această versiune, Kaseya a remediat următoarele vulnerabilități:
➡ CVE-2021-30116;
➡ CVE-2021-30119;
➡ CVE-2021-30120;
➡ S-a rezolvat o problemă în care semnalizarea sigură nu era utilizată pentru cookie-urile de sesiune ale Portalului utilizatorilor;
➡ S-a rezolvat o problemă legată de anumite răspunsuri API care ar conține un hash de parolă, ce ar putea expune parolele slabe la atacul cu forță brută. Valoarea parolei este astfel mascată complet;
➡ S-a remediat o vulnerabilitate care permitea încărcarea neautorizată a fișierelor pe serverul VSA.
Pentru a preveni alte încălcări și pentru a se asigura că dispozitivele nu sunt deja compromise, înainte de a instala această actualizare, Kaseya îi îndeamnă pe clienți să urmeze pașii menționați în „Ghidul de pregătire pentru pornirea VSA on premise” (On Premises VSA Startup Readiness Guide).
Un element critic este acela ca serverele VSA locale să nu fie accesibile pe Internet, pentru a preveni compromiterea în timpul instalării patch-ului. În această ideea, De asemenea, Kaseya îndeamnă clienții să utilizeze „Instrumentul de detectare a compromisurilor”, o colecție de scripturi PowerShell pentru a detecta dacă un server VSA sau punctele finale au fost compromise.
Pentru identificarea serverelor locale compromise, a fost lansat instrumentul „Compromise Detection Tool”, o colecție de scripturi PowerShell care detectează dacă un server VSA sau punctele finale au fost compromise.
Scripturile vor verifica serverele VSA pentru a identifica fișierele utilizate de REvil pentru a inocula executabilele ransomware: agent.crt și agent.exe.
Din motive de securitate suplimentară, Kaseya sugerează ca administratorul VSA local să restricționeze accesul interfeței grafice web la adresele IP locale și la cele cunoscute a fi utilizate de produsele de securitate.
După instalarea patch-ului, utilizatorii vor fi obligați să-și schimbe parola în conformitate cu noile cerințe de parolă impuse.
Pentru detalii relevante despre acest atac ransomware, accesează articolul dedicat AICI.
- SEO poisoning: pericolul invizibil din rezultatele motoarelor de căutare - 18 noiembrie 2024
- Microsoft 365 Copilot, acum disponibil în limba română - 14 noiembrie 2024
- Pericolele nevăzute ale dispozitivelor smart: sfaturi esențiale de securitate împotriva hackerilor - 5 noiembrie 2024