Ngày 11 tháng 7, nhà cung cấp phần mềm Kaseya đã tung ra các bản update khẩn cấp để giải quyết các lỗ hổng bảo mật nghiêm trọng trong giải pháp Virtual System Administrator (VSA). Nó được xử dụng như một điểm mở màn để tấn công 1.500 doanh nghiệp trên toàn thế giới.
Sau sự cố, công ty đã kêu gọi khách hàng VSA tạm dừng xử dụng máy chủ cho đến khi có bản vá. Sau gần 10 ngày, công ty phát hành phiên bản VSA 9.5.7a (9.5.7.2994) để vá ba lỗi bảo mật mới:
- CVE-2021-30116 – Rò rỉ thông tin xác thực & lỗ hổng logic doanh nghiệp
- CVE-2021-30119 – Lỗ hổng tập lệnh trên nhiều web site
- CVE-2021-30120 – Bỏ qua xác thực hai yếu tố
Các lỗi trên chỉ là 1 phần trong tổng cộng bảy lỗi được DIVD phát hiện & thông báo cho Kaseya vào đầu tháng tư. Bốn lỗ hổng còn lại (CVE-2021-30117, CVE-2021-30118, CVE-2021-30121, CVE-2021-30201) đã được khắc phục trong các bản phát hành trước.
Bên cạnh các bản sửa lỗi cho các thiếu sót nói trên, bản mới nhất khắc phục ba lỗi khác, bao gồm 1 lỗi làm lộ các hàm băm mật khẩu trong các phản hồi API nhất định đối với những cuộc tấn công brute-force & một lỗ hổng cá biệt có thể cho phép tải trái phép các tệp lên VSA chủ.
Để tăng cường bảo mật, Kaseya khuyến cáo người xử dụng nên hạn chế quyền truy cập vào VSA Web GUI đối với những địa chỉ IP cục bộ bằng phương pháp chặn cổng 443 đến trên tường lửa Internet.
Theo Kaseya, khi thiết lập bản vá sẽ buộc tất cả người xử dụng thay đổi mật khẩu sau khi đăng nhập để đáp ứng yêu cầu mật khẩu mới. Bên cạnh đó, Kaseya thông báo, các tính năng được chọn được thay thế bằng các tính năng cải tiến hơn & “bản phát hành giới thiệu một số lỗi chức năng, chúng sẽ được sửa chữa trong 1 bản phát hành tới”.
Bên cạnh việc tung ra bản vá, công ty cũng đã nhanh chóng khôi phục cơ sở hạ tầng VSA SaaS. “Việc khôi phục các dịch vụ đang diễn ra theo đúng kế hoạch, với 60% khách hàng SaaS của chúng tôi có thể hoạt động & các máy chủ sẽ giúp các khách hàng còn lại hoạt động trong những giờ tới”, Kaseya thông tin.
REvil, một băng đảng ransomware sung mãn có trụ sở tại Nga, đã lên tiếng nhận trách nhiệm về vụ việc.
Theo Bloomberg, 5 cựu nhân viên của Kaseya cảnh báo về sự việc các lỗ hổng bảo mật trong phần mềm của họ từ năm 2017 đến 2020, nhưng công ty đã lờ đi.
Vào ngày 2 tháng 7, Kaseya bật mí họ là nạn nhân của một “cuộc tấn công tiềm năng”, với ngụ ý bằng phương pháp nào đó hacker đã tấn công người xử dụng sản phẩm VSA của công ty. Kaseya cảnh báo khách hàng nên tắt VSA “ngay lập tức”.
Kaseya bán sản phẩm của mình cho các công ty được gọi là nhà cung cấp dịch vụ được quản lý (MSP) – công ty cung cấp dịch vụ công nghệ thông tin từ xa cho doanh nghiệp quy mô nhỏ, không có đủ nguồn lực hoặc nhân viên IT.
MSP xử dụng nền tảng đám mây VSA của Kaseya để giúp quản lý & gửi các bản update phần mềm cho khách hàng của họ, cũng như để quản lý các vấn đề khác của người xử dụng.
Tuy nhiên, theo Record, băng đảng ransomware này lạm dụng VSA bằng phương pháp “xử dụng một bản update độc hại” để lây nhiễm ransomware cho “các công ty trên toàn thế giới”.
REvil là một băng nhóm tội phạm mạng nổi tiếng, đã xử dụng ransomware để truy lùng “các miếng mồi béo bở”, gồm có cả Apple & Acer. Đây cũng được cho là băng nhóm đã tấn công nhà cung cấp thịt JBS, yêu cầu chuộc thành công số tiền 11 triệu $.
Tag: Kaseya phát hành bản vá lỗ hổng bảo mật nghiêm trọng, ảnh hưởng đến 1.500 doanh nghiệp, Kaseya phát hành bản vá lỗ hổng bảo mật nghiêm trọng, ảnh hưởng đến 1.500 doanh nghiệp, Kaseya phát hành bản vá lỗ hổng bảo mật nghiêm trọng, ảnh hưởng đến 1.500 doanh nghiệp
Nguồn: quantrimang
