8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】Kaseya VSA 7月多个安全缝隙

颁布功夫 2021-07-12

0x00 缝隙概述

Kaseya VSA是托管服务提供商 (MSP) 常用来治理客户网络的 RMM（远程监控和治理）软件。。。。。。。。

2021年7月11日，，，，，，，Kaseya颁布VSA 9.5.7a (9.5.7.2994)的安全更新，，，，，，，建复了CVE-2021-30116、CVE-2021-30119 和 CVE-2021-30120缝隙，，，，，，，以及会话 cookie 未使用安全标志、暴力破解和文件上传等问题。。。。。。。。

0x01 缝隙详情

今年4月，，，，，，，荷兰缝隙披露钻研所 (DIVD) 向 Kaseya 披露了七个缝隙：

CVE-2021-30116：信息泄露缝隙，，，，，，，影响9.5.7 之前的版本。。。。。。。。

CVE-2021-30117：SQL 注入缝隙，，，，，，，已在 5 月 8 日的补丁中建复。。。。。。。。（VSA 9.5.6）

CVE-2021-30118：远程代码执行缝隙，，，，，，，已在 4 月 10 日的补丁中建复。。。。。。。。(v9.5.5)

CVE-2021-30119：XSS缝隙，，，，，，，影响9.5.7 之前的版本。。。。。。。。

CVE-2021-30120 ：2FA 绕过缝隙，，，，，，，影响9.5.7 之前的版本。。。。。。。。

CVE-2021-30121：本地文件蕴含缝隙，，，，，，，已在 5 月 8 日的补丁中建复。。。。。。。。（VSA 9.5.6）

CVE-2021-30201：XML 表部实体缝隙，，，，，，，已在 5 月 8 日的补丁中建复。。。。。。。。（VSA 9.5.6）

事务详情

2021年7月2日，，，，，，，REvil 团伙利用 Kaseya VSA 软件中的安全缝隙针对全球多个MSP及其客户提议供给链攻击。。。。。。。。据暗示，，，，，，，攻击者可能单独利用或组合利用了CVE-2021-30116、CVE-2021-30119 和 CVE-2021-30120，，，，，，，以绕过认证并运行肆意号令。。。。。。。。

作为响应，，，，，，，Kaseya建议立即关关VSA 服务器。。。。。。。。之后，，，，，，，可从Internet 接见的 Kaseya VSA 事俘数量已从2200 多个降落到不到 140 个。。。。。。。。

过后，，，，，，，Kaseya暗示，，，，，，，REvil供给链勒索软件攻击入侵了约60个使用该公司VSA内部产品的客户的系统，，，，，，，受害者近1500名，，，，，，，由于他们的网络是由MSP使用Kaseya远程治理工具治理的。。。。。。。。此表，，，，，，，Revil的攻击者是通过VSA 产品职能部署勒索软件的，，，，，，，目前没有证据批注 Kaseya 的 VSA 代码库已被篡改。。。。。。。。

REvil宣称已经加密了超过 1,000,000 个系统，，，，，，，最初其要求 7000 万美元的赎金，，，，，，，此刻要求 5000 万美元采办通用解密器。。。。。。。。

影响领域

Kaseya VSA < 9.5.7a

0x02 措置建议

目前这些缝隙已经建复，，，，，，，建议升级至VSA 9.5.7a (9.5.7.2994) 版本。。。。。。。。

其它措施

1.Kaseya 督促客户在装置更新之前遵循“本地 VSA 启动筹备指南”步骤，，，，，，，以预防攻击行为。。。。。。。。以下是治理员在再次启动 VSA 服务器并将它们衔接到 Internet 之前应该执行的根基步骤：（沉点：不能从 Internet 公开接见本地 VSA 服务器）

l 确保您的 VSA 服务器是隔离的；；；；；

l 查抄系统的妥协指标 (IOC) ；；；；；

l 装置VSA服务器操作系统补丁；；；；；

l 使用 URL Rewrite 节造通过 IIS 对 VSA 的接见；；；；；

l 装置 FireEye 代理；；；；；

l 删除挂起的剧本/作业。。。。。。。。

2.此表，，，，，，，Kaseya 还督促客户使用他们的PowerShell 剧本的“入侵检测工具”来检测 VSA 服务器或端点是否已被入侵：剧本将查抄 VSA 服务器是否存在“Kaseya\webpages\managedfiles\vsaticketfiles\agent.crt”和“Kaseya\webpages\managedfiles\vsaticketfiles\agent.exe”以及“agent.crt”和“agent.exe”在端点上。。。。。。。。（注：REvil 团伙使用 agent.crt 和 agent.exe 文件来部署 REvil 勒索软件可执行文件）。。。。。。。。

3. 为了提高安全性，，，，，，，Kaseya 还建议内部部署的 VSA 治理员将对 Web GUI 的接见权限限度为本地 IP 地址和已知安全产品使用的 IP 地址。。。。。。。。

下载链接：

https://helpdesk.kaseya.com/hc/en-gb/articles/4403785889041

https://kaseya.app.box.com/s/0ysvgss7w48nxh8k1xt7fqhbcjxhas40

0x03 参考链接

https://helpdesk.kaseya.com/hc/en-gb/articles/4403785889041

https://mp.weixin.qq.com/s/aoSf0HFH7lOz6bGXGKboNg

https://www.bleepingcomputer.com/news/security/kaseya-patches-vsa-vulnerabilities-used-in-revil-ransomware-attack/

0x04 更新版本

版本	日期	批改内容
V1.0	2021-07-12	初次颁布

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

NVD：nvd.nist.gov

CVSS：www.first.org

0x06 关于8827太阳集团

关注以下公家号，，，，，，，获取更多资讯：

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】