Kaseya phát hành bản vá lỗ hổng bảo mật nghiêm trọng, ảnh hưởng đến 1.500 doanh nghiệp

Ngày 11 tháng 7, nhà cung cấp phần mềm Kaseya đã tung ra các bản cập nhật khẩn cấp để giải quyết các lỗ hổng bảo mật nghiêm trọng trong giải pháp Virtual System Administrator (VSA). Nó được sử dụng như một điểm khởi đầu để tấn công 1.500 doanh nghiệp trên toàn thế giới.

Sau sự cố, công ty đã kêu gọi khách hàng VSA tạm dừng sử dụng máy chủ cho đến khi có bản vá. Sau gần 10 ngày, công ty phát hành phiên bản VSA 9.5.7a (9.5.7.2994) để vá ba lỗi bảo mật mới:

• CVE-2021-30116 - Rò rỉ thông tin xác thực và lỗ hổng logic doanh nghiệp
• CVE-2021-30119 - Lỗ hổng tập lệnh trên nhiều trang web
• CVE-2021-30120 - Bỏ qua xác thực hai yếu tố

Các lỗi trên chỉ là một phần trong tổng số bảy lỗi được DIVD phát hiện và thông báo cho Kaseya vào đầu tháng 4. Bốn lỗ hổng còn lại (CVE-2021-30117, CVE-2021-30118, CVE-2021-30121, CVE-2021-30201) đã được khắc phục trong các bản phát hành trước.

Bên cạnh các bản sửa lỗi cho các thiếu sót nói trên, bản mới nhất khắc phục ba lỗi khác, bao gồm một lỗi làm lộ các hàm băm mật khẩu trong các phản hồi API nhất định đối với các cuộc tấn công brute-force và một lỗ hổng riêng biệt có thể cho phép tải trái phép các tệp lên VSA chủ.

Để tăng cường bảo mật, Kaseya khuyến cáo người dùng nên hạn chế quyền truy cập vào VSA Web GUI đối với các địa chỉ IP cục bộ bằng cách chặn cổng 443 đến trên tường lửa Internet.

Theo Kaseya, khi cài đặt bản vá sẽ buộc tất cả người dùng thay đổi mật khẩu sau khi đăng nhập để đáp ứng yêu cầu mật khẩu mới. Bên cạnh đó, Kaseya thông báo, các tính năng được chọn được thay thế bằng các tính năng cải tiến hơn và "bản phát hành giới thiệu một số lỗi chức năng, chúng sẽ được sửa chữa trong một bản phát hành tới".

Bên cạnh việc tung ra bản vá, công ty cũng đã nhanh chóng khôi phục cơ sở hạ tầng VSA SaaS. "Việc khôi phục các dịch vụ đang diễn ra theo đúng kế hoạch, với 60% khách hàng SaaS của chúng tôi có thể hoạt động và các máy chủ sẽ giúp các khách hàng còn lại hoạt động trong những giờ tới”, Kaseya thông tin.

REvil, một băng đảng ransomware sung mãn có trụ sở tại Nga, đã lên tiếng nhận trách nhiệm về vụ việc.

Theo Bloomberg, 5 cựu nhân viên của Kaseya cảnh báo về việc các lỗ hổng bảo mật trong phần mềm của họ từ năm 2017 đến 2020, nhưng công ty đã lờ đi.

Vào ngày 2 tháng 7, Kaseya tiết lộ họ là nạn nhân của một "cuộc tấn công tiềm năng", với ngụ ý bằng cách nào đó hacker đã tấn công người sử dụng sản phẩm VSA của công ty. Kaseya cảnh báo khách hàng nên tắt VSA "ngay lập tức".

Kaseya bán sản phẩm của mình cho các công ty được gọi là nhà cung cấp dịch vụ được quản lý (MSP) - công ty cung cấp dịch vụ công nghệ thông tin từ xa cho doanh nghiệp quy mô nhỏ, không có đủ nguồn lực hoặc nhân viên IT.

MSP sử dụng nền tảng đám mây VSA của Kaseya để giúp quản lý và gửi các bản cập nhật phần mềm cho khách hàng của họ, cũng như để quản lý các vấn đề khác của người dùng.

Tuy nhiên, theo Record, băng đảng ransomware này lạm dụng VSA bằng cách "sử dụng một bản cập nhật độc hại" để lây nhiễm ransomware cho "các công ty trên toàn thế giới".

REvil là một băng nhóm tội phạm mạng nổi tiếng, đã sử dụng ransomware để truy lùng "các miếng mồi béo bở", bao gồm cả Apple và Acer. Đây cũng được cho là băng nhóm đã tấn công nhà cung cấp thịt JBS, yêu cầu chuộc thành công số tiền 11 triệu USD.