Kaseya corrige les vulnérabilités de VSA utilisées dans l’attaque de REvil

0

Kaseya a publié une mise à jour de sécurité pour les vulnérabilités zero-day de VSA utilisées par le gang de ransomware REvil pour attaquer les MSP(Managed Service Provider) et leurs clients.

Le VSA de Kaseya est une solution de gestion et de surveillance à distance couramment utilisée par les fournisseurs de services gérés(MSP) pour assister leurs clients. Les MSP peuvent déployer VSA sur site à l’aide de leurs serveurs ou utiliser la solution SaaS basée sur le cloud de Kaseya.

En Avril, la Dutch Institute for Vulnerability Disclosure (DIVD) a révélé sept vulnérabilités à Kaseya:

  • CVE-2021-30116 – Une fuite d’informations d’identification et une faille de logique qui est inclut dans 9.5.7
  • CVE-2021-30117 – Une vulnérabilité d’injection SQL, résolue dans le patch du 8 mai.
  • CVE-2021-30118 – Une vulnérabilité d’exécution de code à distance, résolue dans le correctif du 10 avril. (v9.5.6)
  • CVE-2021-30119 – Une vulnérabilité de Cross Site Scripting qui est inclut dans 9.5.7
  • CVE-2021-30120 – Contournement de l’authentification à 2 facteurs qui est résolu dans la v9.5.7
  • CVE-2021-30121 – Une vulnérabilité d’inclusion de fichier local, résolue dans le correctif du 8 mai.
  • CVE-2021-30201 – Une vulnérabilité d’entité externe XML, résolue dans le correctif du 8 mai.

Kaseya avait mis en œuvre des correctifs pour la plupart des vulnérabilités de son service SaaS de VSA, mais n’avait pas terminé les correctifs pour la version sur site de VSA.

Malheureusement, le gang du ransomware REvil a été plus rapide que Kaseya et a utilisé ces vulnérabilités pour lancer une attaque massive le 2 juillet contre environ 60 MSP utilisant des serveurs VSA sur site et 1 500 clients commerciaux.

On ne sait pas quelles vulnérabilités ont été utilisées dans l’attaque, mais il s’agirait d’une combinaison de CVE-2021-30116, CVE-2021-30119 et CVE-2021-30120.

Kaseya déploie des mises à jour de sécurité

Depuis l’attaque, Kaseya a recommandé aux clients de VSA sur site à fermer leurs serveurs jusqu’à ce qu’un correctif soit prêt.

Près de dix jours après les attaques, Kaseya a publié la mise à jour de VSA 9.5.7a (9.5.7.2994) pour corriger les vulnérabilités utilisées dans l’attaque du ransomware REvil.

Avec cette version, Kaseya a corrigé les vulnérabilités suivantes :

  • Fuite d’informations d’identification et faille de logique: CVE-2021-30116
  • Vulnérabilité Cross Site Scripting : CVE-2021-30119
  • Contournement d’authentification à 2 facteurs: CVE-2021-30120
  • Correction d’un problème où l’indicateur sécurisé n’était pas utilisé pour les cookies de session du portail utilisateur.
  • Correction d’un problème où certaines réponses de l’API contenaient un hachage de mot de passe, exposant potentiellement tout mot de passe faible à une attaque par force brute. La valeur du mot de passe est maintenant complètement masquée.
  • Correction d’une vulnérabilité qui pouvait permettre le téléchargement non autorisé de fichiers sur le serveur VSA.

Cependant, Kaseya recommande aux clients de suivre les étapes du « Guide de préparation au démarrage de VSA sur site » avant d’installer la mise à jour afin d’éviter d’autres violations et de s’assurer que les appareils ne sont pas déjà compromis.

Vous trouverez ci-dessous les étapes de base que les administrateurs doivent effectuer avant de redémarrer les serveurs VSA et de les connecter à Internet :

  • Assurez-vous que votre serveur VSA est isolé
  • Vérifier le système pour les indicateurs de compromis (IOC)
  • Patcher les systèmes d’exploitation des serveurs VSA
  • Utilisation de la réécriture d’URL pour contrôler l’accès à VSA via IIS
  • Installer l’agent FireEye
  • Supprimer les scripts/tâches en attente

Parmi ces étapes, il est essentiel que les serveurs VSA sur site ne soient pas accessibles publiquement depuis Internet pour éviter toute compromission lors de l’installation du correctif.

Kaseya recommande également aux clients d’utiliser leur « outil de détection de compromission », une collection de scripts PowerShell pour détecter si un serveur VSA ou des points de terminaison ont été compromis.

Les scripts vérifieront sur les serveurs VSA la présence de ‘Kaseya\webpages\managedfiles\vsaticketfiles\agent.crt’ et ‘Kaseya\webpages\managedfiles\vsaticketfiles\agent.exe’ ainsi que ‘agent.crt’ et ‘agent.exe’ sur les points de terminaison.

L’affilié REvil a utilisé les fichiers agent.crt et agent.exe pour déployer l’exécutable du ransomware REvil.

Pour plus de sécurité, Kaseya suggère également à l’administrateur de VSA sur site de restreindre l’accès à l’interface graphique Web, aux adresses IP locales et à celles connues pour être utilisées par les produits de sécurité.

« Pour les installations VSA sur site, nous avons recommandé de limiter l’accès à l’interface graphique Web VSA aux adresses IP locales en bloquant le port 443 entrant sur votre pare-feu Internet. Certaines intégrations peuvent nécessiter un accès entrant à votre serveur VSA sur le port 443. Vous trouverez ci-dessous une liste d’adresses IP que vous pouvez ajouter à la liste blanche dans votre pare-feu, si vous utilisez ces intégrations avec votre produit VSA sur site. » explique Kaseya.

Après l’installation du correctif, tous les utilisateurs devront changer leur mot de passe en utilisant de nouvelles exigences de mot de passe.

Si cet article vous a plu, n’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire