慢了一步?REvil黑客利用Kaseya正要修补的漏洞发动攻击
发布时间:
2021-07-26
来源:
作者:
天地和兴
访问量:
303
【编者按】从今年5月的美国最大燃油管道Colonial被黑客掐断,引发全美范围内的大规模恐慌和天然气短缺,再到6月全球最大肉类供应厂商JBS遭受攻击,现在黑客的攻击已经不仅仅是针对单个公司了,而是盯上了为成百上千公司提供服务的美国IT管理软件供应商Kaseya。虽然这次攻击只是影响了Kaseya的数十名直接客户,但这数十名客户中大部分都是托管服务提供商(MSP),因此,勒索软件已通过这些MSP投送给数千名客户。其实Kaseya在黑客攻击之前便已开始着手修补相关漏洞,没想到却被黑客捷足先登。
一、事件回顾
荷兰漏洞披露协会(DIVD)通报给Kaseya的产品安全漏洞,被勒索软件组织REvil先一步滥用,入侵渗透了Kaseya的托管服务供应商(MSPs)以及下游企业用户。
美国托管软件开发商Kaseya在在7月2日遭到黑客入侵,黑客借由危害该公司的远程监控与管理软件Kaseya VSA,针对Kaseya客户展开REvil勒索软件攻击,网络安全公司Huntress估计至少有数千家小型企业受到冲击,而REvil则对外宣称已加密了逾100万个系统,此事更惊动了白宫,美国总统拜登已指示,包括FBI与CISA等美国政府组织全力协助Kaseya。
Kaseya VSA是一款统一的远程监控与管理软件,它能同时监控网络并管理各种端点装置,包括自动化各种任务、缓解IT意外,还能自动进行漏洞管理与安全修补。Kaseya除了打造就地部署的Kaseya VSA软件之外,也提供了云端的VSA SaaS服务。
Kaseya在2日指出,黑客攻击了本地部署的Kaseya VSA软件,但并未危及VSA SaaS服务,建议Kaseya VSA软件客户立即关闭相关的服务器,且为防万一,Kaseya也暂时关闭VSA SaaS服务。
然而,荷兰漏洞披露协会(DIVD)表示,他们早就发现了相关漏洞,而且正与Kaseya合作进行修补,没想到还是让黑客捷足先登。
DIVD表示,由该协会研究人员Wietse Boonstra发现的漏洞编号为CVE-2021-30116,在通报给Kaseya之后,双方展开密切合作以修补相关漏洞,Kaseya也与DIVD分享了部份的修补程序以进行验证,不论从哪方面来看,都显示出Kaseya尽了最大努力来解决安全问题,但是不料就在最后的修补冲刺阶段时,漏洞却遭黑客攻陷。
尽管Kaseya在2日时表示,全球只有不到40家采用Kaseya VSA软件的客户受到影响,但网络安全公司Huntress则称,有30家采用Kaseya VSA软件的托管服务供应商(MSPs)受到波及,这些供应商分别位于美国、澳洲、欧洲与拉丁美洲,而它们已有超过1,000家客户的系统被加密。
根据Huntress的分析,REvil黑客是利用Kaseya VSA网页介面的认证缺陷,以绕过该服务的身份认证,并透过Kaseya VSA的SQL注入漏洞执行命令。
此外,Huntress也在REvil的官网上看到黑客的声明,黑客宣称已对众多的MSP发动攻击,加密了数百万个系统,若有人想一次协商一个通用的解密工具,售价是价值7,000万美元的比特币。
虽然不管是DIVD或Kaseya都未公布漏洞细节,但网络安全公司Huntress指出黑客利用的是Kaseya VSA的SQL注入漏洞,另一家网络安全公司Double Pulsar则称,黑客是通过Kaseya VSA以假冒的软件安全更新程序来传播勒索软件。
Double Pulsar表示,由于Kaseya拥有许多托管服务供应商MSPs客户,因此就算这些MSP客户的客户并未使用Kaseya产品,它们的系统也同样会被勒索软件加密。
这也许解释了为何Kaseya宣称只有不到60家的Kaseya VSA客户受到波及,但REvil勒索软件黑客却宣称已经加密了数百万个系统的原因。
在得知客户遭到攻击之后,Kaseya很快就知会了FBI与CISA,并聘请FireEye与其它网络安全公司协助缓解相关攻击,以及找出解决之道。目前Kaseya已发布了人侵侦测工具Compromise Detection Tool供客户部署并修补漏洞。在7月3日晚间时,约有900家客户向Kaseya索取相关工具。
截至7月4日下午,Kaseya依旧建议Kaseya VSA客户关闭服务器,若要重新启用必须先安装修补程序,至于VSA SaaS也要到7月5日才会陆续重新上线,并将关闭较少用的功能以减少潜在的攻击表面。
FBI与CISA除了已针对该攻击展开调查之外,还鼓励受害者向它们通报,表示其虽然无法对每个个别的受害者做出回应,但所有的信息都将有助于应对相关威胁。
此次攻击的规模之大也已惊动美国总统,拜登除了指示FBI等政府机关全力协助Kaseya之外,还表示目前并不确定此事是否与俄罗斯政府有关,等到他得到更完整的信息之后,将会进一步做出回应。
截至7月12日,Kaseya向VSA本地客户发布了补丁,并开始部署到VSA SaaS基础设施。
二、事件分析
从7月3日下午开始,REvil勒索软件组织(又名Sodinokibi)通过一起Kaseya VSA供应链攻击,攻击了多家拥有成千上万客户的MSP。目前,已知有八家大型MSP因此次供应链攻击而中招。
Kaseya VSA是一个基于云的MSP平台,让提供商们可以为客户执行补丁管理和客户端监控任务。所有受影响的MSP都在使用Kaseya VSA,有证据表明他们客户的设备也被加密。大多数大规模勒索软件攻击都是在周末夜间进行的,这个时段监控网络的人员比较少。
攻击者首先通过对软件的恶意自动更新感染受害者,最终释放REvil/Sodinokibi勒索软件。勒索软件一旦在受害者的环境中活跃,就会对网络上系统的内容进行加密,对使用该软件的各种组织造成广泛的操作中断。REvil使用勒索软件即服务(RaaS)模式运营,其附属机构利用各种战术、技术和程序(TTPs)感染受害者,并迫使他们付费重新访问受勒索软件影响的系统和数据。在许多情况下,备份服务器也成为基于网络的勒索软件攻击的目标,这突显了定期测试脱机备份和恢复策略的重要性。
- 这一事件由两个独立但相关的事件组成。最初的妥协是对MSP的零日攻击的结果,这使对手能够对其他受害者进行服务供应链攻击。
- Kaseya VSA服务器的最初泄露似乎是由于成功利用了一个未修补的软件漏洞(CVE-2021-30116),该漏洞允许攻击者获得访问脆弱Kaseya VSA服务器的特权,以进行勒索软件部署。
- 赎金要求因受害者组织而异。这表明,一旦攻击者获得了对VSA服务器的访问权,就会分析服务器配置,在激活恶意勒索软件负载之前识别受害者。
- 没有数据泄露活动,受感染系统上的影子副本以及活动范围内的解密密钥的宣传与REvil勒索软件攻击期间通常观察到的TTPs有着明显不同。
- 确定与此攻击相关的REvil勒索软件样本被配置为禁用与通常用于发送加密信息和统计数据的C2基础设施的通信。
- 在感染过程中,将当前系统时间与2021年7月2日美国东部时间12:30进行比较。此时,执行ping功能,这将导致初始感染与系统上可能检测到其他恶意活动之间的延迟。
需要注意的是,即使没有成功部署勒索软件,使用Kaseya VSA的组织也可能受到威胁。MSP是勒索软件团伙的高价值目标,因为它们提供了一条简易渠道,攻击者通过一次攻击就能感染许多公司,不过攻击需要对MSP及其使用的软件有深入了解。
这不是第一个在勒索软件活动期间将远程管理软件用作初始入口点的实例。考虑到Kaseya VSA通常的部署方式,许多组织由于MSP等上游服务提供商的成功妥协而成为攻击目标,这些服务提供商与Cisco Talos在2018年发现的DNSpionage和Sea Turtle等之前的服务供应链攻击类似。
其实Kaseya在黑客攻击之前便已开始着手修补CVE-2021-30116漏洞,只是被黑客捷足先登。
虽然黑客只攻陷了本地部署的Kaseya VSA,并未危及由Kaseya提供的Kaseya VSA SaaS服务,但Kaseya一方面要求客户关闭本地部署的Kaseya VSA,另一方面也暂时撤下Kaseya VSA SaaS服务以强化其安全性。
根据Kaseya目前的规划,该公司将在Kaseya VSA SaaS架构上新增一层安全防扩,同时将变更Kaseya VSA SaaS服务器所使用的IP位址,呼吁把该IP地址设为白名单的客户要记得变更。此外,针对Kaseya VSA本地部署版的安全更新,将在Kaseya VSA SaaS服务重新上线之后的24小时内发布。
自从Kaseya在7月2日遭到黑客入侵以来,提供远程监控与管理的Kaseya VSA和Kaseya VSA SaaS服务便中断至今,原本计划要在7月6日重新推出Kaseya VSA SaaS,也因遭遇部署问题而延迟上线。
三、相关动态
供应链攻击是所有企业的噩梦,近日在黑客入侵了IT系统管理公司Kaseya后,通过使用该公司的VSA产品来感染用户,然后再通过勒索软件来攻击这些用户。受害者中有瑞典最大的连锁超市Coop,这是Kaseya客户之一,该事件目前已经导致Coop约800家门店关闭。Coop的新闻发言人3日表示,负责Coop支付系统的运营商遭受黑客攻击,导致大部分门店都被迫关闭,包括收银台和自助结账在内的整个支付系统都中断了。此外,Coop没有使用Kaseya软件,由于负责Coop的支付系统的运营和维护工作的Visma EssCom公司使用了该软件而受到波及影响。
Coop只是这次黑客受害者名单中的第一个,在此前一天,黑客开始发起一场全球勒索软件攻击,共袭击了超过1000多家公司,这几乎是迄今为止全球最大规模的供应链黑客攻击事件。
黑客攻击的虽然是美国的公司,但有网络安全专家指出,由于Kaseya的客户属于大型IT服务供应商,这些公司又会为数百间公司提供外包IT服务,至今已有200家公司受影响。预计受影响公司的数目会陆续增加,可能多达数千家,遍布英国、加拿大和南非等最少17个国家。
四、安全指南
CISA和FBI联合发布了针对受到Kaseya供应链攻击影响的受害者的安全指南。这两个机构建议组织使用Kaseya提供的检测工具来检查他们的系统是否存在入侵迹象,并启用多因素身份验证(MFA)。
以下是CISA和FBI发布的对受影响的MSP的建议:
- 下载Kaseya VSA检测工具。该检测工具可分析系统(VSA服务器或托管端点)并确定是否存在任何危害指标(IoC)。
- 在组织控制下的每个账户上启用和实施多因素身份验证(MFA),并尽可能为面向客户的服务启用和实施MFA。
- 使用白名单,将具有远程监控和管理(RMM)功能的通信限制为已知IP地址。
- 将RMM的管理接口置于虚拟专用网(VPN)或专用管理网络上的防火墙之后。
此外,组织还应使用白名单来外部限制对其内部资产的访问,并使用防火墙或VPN保护其远程监控工具的管理界面。而受影响的MSP客户需要确保备份是最新的,并且立即安装供应商提供的最新的补丁。
参考资料:
【1】https://blog.talosintelligence.com/2021/07/revil-ransomware-actors-attack-kaseya.html
【2】https://securityaffairs.co/wordpress/119728/cyber-crime/cisa-fbi-guidance-kaseya-attack.html
【3】https://www.securityweek.com/scale-details-massive-kaseya-ransomware-attack-emerge
下一条:
相关资讯
