Kaseya was fixing zero-day just as REvil ransomware sprung their attack
2021/07/04 BleepingComputer — オンプレミスの Kaseya VSA Server に侵入するために使用されたゼロデイ脆弱性は、金曜日に生じた REvil ランサムウェア・ギャングの大規模な攻撃に対応するために、まさに修正されている最中にあった。この脆弱性は、Dutch Institute for Vulnerability Disclosure (DIVD) のセキュリティ研究者により、少し前から Kaseya に開示されており、顧客に提供されるパッチは検証の段階にあった。
しかし、タイミングの悪いことに、REvil ランサムウェア・ギャングは Kaseya を侵害し、金曜日の夜に世界中のマネージド・サービス・プロバイダに対して、このゼロデイを使った攻撃を行った。DIVD の Victor Gevers は、「この危機の後に、誰が責任を負うべきかという問題が出てくるだろう。我々の側からは、Kaseya が非常に協力的であったことを述べたい。当社の報告した脆弱性を Kaseya が認識した後に、両社は常に連絡を取り合い、協力してきた。我々の報告書に不明瞭な項目があれば、Kaseya は適切な質問をした。また、有効性を検証するために、我々にも部分的なパッチが共有された。
すべてのプロセスにおいて Kaseya は、この問題を修正し、また、顧客にパッチを提供するために、最大の努力を惜しまなかった。彼らは、正しい対応のために、純粋なコミットメントを示したが、残念ながら最終スプリントで REvil に負けてしまった。つまり、顧客がパッチを当てる前に、この脆弱性は悪用されてしまった」と、本日のブログ投稿で述べている。なお、Kaseya は BleepingComputer に対して、DIVD と緊密に協力していることを認めている。この Kaseya のゼロデイ脆弱性は、DIVD の研究者である Wietse Boonstra により発見され、CVE-2021-30116 という識別子が割り当てられた。
この修正中の脆弱性を、どのようにして REvil は知ったのかという質問に対して、「簡単に悪用できるものだから」と、Gevers は Tweet で指摘している。Gevers は BleepingComputer に対して、今回の脆弱性開示は、業界の標準的な時間内で行われており、これから詳細を提供すると述べている。Kaseya に対して開示のタイムラインを問い合わせたが、現時点では追加の情報は提供できないとのことだったしないとのことでした。
KASEYA VSA を調べてみたら、Unified Remote Monitoring & Management だと説明されていました。システム内の各所に触手を伸ばすようなかたちで運用されているはずなので、侵害されると大きな被害に繋がる可能性が大です。この攻撃が始まった後に DIVD の研究者たちは、一般にアクセス可能な VSA の IP アドレスと顧客 ID のリストを Kaseya に提供し、それらのサーバをオフラインにしてきたと、この記事は解説しています。この努力により、一般にアクセス可能なサーバ数は劇的に減少し、7月4日の時点でアクセスできるものは、わずか 140台に過ぎないとのことです。Gevers は Tweet で、「この48時間の間に、インターネットからアクセス可能な Kaseya VSA インスタンスの数は、2,200以上から140以下に減少した」と述べています。Kaseya アドバイザリーはココです。
IoT OT Security News 