Luego de lo que fue el ataque masivo y sin precedentes que llevó adelante la banda detrás del ransomware REvil el pasado 2 de julio, en el cual aprovecharon una serie de vulnerabilidades en el software de gestión de TI Kaseya VSA que permitió que afectaran a cerca de 60 proveedores de servicios administrados (MSP, por sus siglas en inglés) y a cerca de 1500 empresas clientes, la compañía Kaseya lanzó una actualización que corrige una serie de vulnerabilidades, entre ellas las utilizadas por los cibercriminales para llevar adelante el ataque.
Si bien no está del todo claro qué vulnerabilidades fueron aprovechadas por REvil, se cree que fue una en particular o la combinación de tres vulnerabilidades que fueron corregidas en el lanzamiento de la versión 9.5.7a (9.5.7.2994) publicada el 11 de julio, explica el sitio BleepingComputer. Las mismas son:
- CVE-2021-30116: vulnerabilidad de filtración de credenciales
- CVE-2021-30119 vulnerabilidad de Cross Site Scripting (XSS)
- CVE-2021-30120: vulnerabilidad que permite evadir el 2FA
Por otra parte, la compañía reparó otras vulnerabilidades de seguridad con esta actualización, como es un fallo en el cual no se ejecutaba una advertencia de seguridad para las cookies de sesión de User Portal; un fallo en el cual ciertas respuestas de la API contenían contraseñas hasheadas exponiendo a potenciales ataques de fuerza bruta; y una vulnerabilidad que permitía la carga no autorizada de archivos al servidor VSA.
Tanto la CVE-2021-30116, la CVE-2021-30119 como la CVE-2021-30120, todas fueron descubiertas y reportadas a Kaseya por el Instituto holandés para la divulgación de vulnerabilidades (DIVD, por sus siglas en inglés) junto a otras cuatro vulnerabilidades también descubiertas por esta entidad y que habían sido reparadas en la versión 9.5.5 y 9.5.6 del software, como son la CVE-2021-30118, CVE-2021-30117, CVE-2021-30121 y la CVE-2021-30201.
Tal como explica el medio, desde Kaseya recomiendan a los clientes que antes de instalar las actualizaciones lean atentamente la siguiente guía. Asimismo, la compañía recomienda a los clientes a utilizar una herramienta VSA Detecion Tool que permitirá saber si un servidor VSA ha sido comprometido.
Una vez instalada la actualización se solicitará a todos los usuarios modificar su contraseña por una nueva.