Depois do ataque massivo e sem precedentes realizado pelo grupo por trás do ransomware REvil no último dia 02 de julho, no qual os criminosos exploraram uma série de vulnerabilidades no software de gerenciamento da TI Kaseya VSA que permitiu afetar cerca de 60 provedores de serviços gerenciados (MSPs, pela sigla em inglês) e cerca de 1.500 empresas clientes, a empresa Kaseya lançou uma atualização que corrige uma série de vulnerabilidades, incluindo aquelas usadas pelos cibercriminosos para realizar o ataque.
Embora ainda não se saiba ao certo quais vulnerabilidades foram exploradas pelo ransomware REvil, acredita-se que seja uma falha em particular ou a combinação de três vulnerabilidades que foram corrigidas no lançamento da versão 9.5.7a (9.5.7.2994) publicada no dia 11 de julho, explica o site BleepingComputer. Veja quais são as vulnerabilidades:
- CVE-2021-30116: vulnerabilidade de filtração de credenciais
- CVE-2021-30119 vulnerabilidade de Cross Site Scripting (XSS)
- CVE-2021-30120: vulnerabilidade que permite contornar a autenticação em dois fatores
A empresa também corrigiu outras vulnerabilidades de segurança com essa mesma atualização, como um bug no qual não se executava uma advertência de segurança para cookies de login do User Portal – uma falha em que certas respostas do API continham senhas com hash, expondo ataques de força bruta em potencial; e uma vulnerabilidade que permitia uploads de arquivos não autorizados para o servidor VSA.
As vulnerabilidades CVE-2021-30116, CVE-2021-30119 e CVE-2021-30120 foram descobertas e relatadas à Kaseya pelo Instituto Holandês para Divulgação de Vulnerabilidades (DIVD, sigla em inglês) junto com outras quatro falhas também descobertas pela instituição e que haviam sido corrigidas na versão 9.5.5 e 9.5.6 do software. As vulnerabilidades corrigidas são as seguintes: CVE-2021-30118, CVE-2021-30117, CVE-2021-30121 e CVE-2021-30201.
A Kaseya explicou para o site BleepingComputer que recomenda que os clientes leiam um guia específico elaborado pela empresa antes de instalar as atualizações. Da mesma forma, a Kaseya recomenda que os clientes usem uma ferramenta VSA Detecion Tool que permite saber se um servidor VSA foi comprometido. Após a instalação da atualização, o sistema solicita que o usuário modifique sua senha.