Kaseya VSA のパッチ 9.5.7a がリリースされた

Kaseya Releases Patches for Flaws Exploited in Widespread Ransomware Attack

2021/07/11 TheHackerNews — フロリダに本拠を置く Kaseya は、この日曜日に、同社の Virtual System Administrator (VSA) ソリューションにおける深刻な脆弱性に対処するための、緊急アップデートを提供した。この VSA ソリューションは、広範囲におよぶサプライチェーン・ランサムウェア攻撃の要素として、世界の 1,500社もの企業を標的にするきっかけとして使用された。このインシデントを受けて、同社はオンプレミス型 VSA の顧客に対して、パッチが提供されるまでサーバーを停止するよう呼びかけていた。それから約10日後に、同社は VSA Ver 9.5.7a (9.5.7.2994) を出荷し、以下の3つの新たなセキュリティ欠陥を修正した。

-CVE-2021-30116 – 認証情報の漏洩とビジネスロジックの欠陥
-CVE-2021-30119 – クロスサイト・スクリプティングの脆弱性
-CVE-2021-30120 – 二要素認証のバイパス

これらの脆弱性は、4月初めにオランダの Dutch Institute for Vulnerability Disclosure (DIVD) により発見され、Kaseya に報告された合計7つの脆弱性の一部であり、そのうちの4つの脆弱性は、以前のリリースで修正されている。

-CVE-2021-30117 – SQL インジェクションの脆弱性 (VSA 9.5.6で修正)
-CVE-2021-30118 – リモートコード実行の脆弱性 (VSA 9.5.5 で修正)
-CVE-2021-30121 – ローカルファイル取り込みの脆弱性 (VSA 9.5.6 で修正)
-CVE-2021-30201 – XML 外部エンティティの脆弱性 (VSA 9.5.6 で修正)

前述の欠点の修正に加えて、最新バージョンでは、特定の API レスポンスに含まれる脆弱なパスワード・ハッシュをブルートフォース攻撃にさらすバグや、VSA サーバにファイルを不正アップロードする脆弱性など、他の3つの欠陥も解決している。

Kaseya は追加のセキュリティ対策として、オンプレミスのインストールでは Port 443 のインバウンドをブロックすることで、VSA Web GUI へのアクセスをローカル IP アドレスに制限することを推奨している。また Kaseya は、パッチのインストール後には、すべてのユーザが新しいパスワードの要件を満たすために、ログイン後のパスワード変更を強制されることも報告している。さらに、選択した機能が改良された代替品に置き換えられ、「このリリースは、将来のリリースで修正される予定の、いくつかの機能的欠陥をもたらす」とも付け加えている。

リモート監視/管理ソフトウェアである VSA のオンプレミス版にパッチを適用したほか、VSA SaaS インフラの復旧も実施されている。Kaseya はアドバイザリの中で、「サービスの復旧は計画通りに進んでおり、SaaS 顧客の 60% はライブの状態であり、残り顧客のサーバは数時間後にオンラインになる」と述べている。この新しい動きは、スパマーが進行中のランサムウェア危機を利用して、Kaseya のアップデートのように見える偽のメール通知を送り、顧客を Cobalt Strike ペイロードに感染させ、システムへのバックドアを得ようとしているとの警告があった、数日後から始まっている。Kaseya は、一連の侵害のことを「洗練されたサイバー攻撃」と称して、複数の欠陥が連鎖したと述べている。どのように実行されたかは明確ではないが、CVE-2021-30116 / CVE-2021-30119 / CVE-2021-30120 の組み合わせが、侵入に使われたと考えられている。

そして、ロシアを拠点に活動するランサムウェア・ギャング REvil が、この事件の犯行を主張している。Kaseya のような、信頼できるサービス・プロバイダーなどを利用して、その下流にいると想定される被害者を危険にさらす、サプライチェーン攻撃が増えてきている。ファイルを暗号化するランサムウェア感染と対になっていることから、これまでに発生した、この種の攻撃の中でも、最大級かつ深刻なものとなっている。


この記事では、マトメとして、Bloomberg の記事などを引用しています。

興味深いことに、土曜日の Bloomberg の報道だ。それによると、5人の Kaseya 元従業員が 2017年から2020年の間に、同社のソフトウェアの「目に余る」セキュリティ・ホールについて問題提起していたが、彼らの懸念は一蹴されたらしい。この報道では、「最も目立った問題の中には、時代遅れのコードに支えられたソフトウェア、Kaseyaの製品やサーバーでの脆弱な暗号化やパスワードの使用、ソフトウェアの定期的なパッチ適用といった基本的なサイバー・セキュリティを守らなかったこと、他の優先事項を犠牲にして売上を重視していたこと」と述べられている。今回の Kaseya への攻撃は、ランサムウェア・ギャングたちが、同社製品を悪用した3回目の事例となる。2019年2月には、Gandcrab ランサムウェア・カルテル (後に Sodinokibi と REvil に進化) は、ConnectWise Manage ソフトウェアの Kaseya プラグインの脆弱性を利用して、MSP の顧客ネットワーク上にランサムウェアを展開した。その後の、2019年6月には、同じグループが Webroot SecureAnywhere とKaseya VSA 製品を狙って、エンドポイントを Sodinokibi ランサムウェアに感染させた。

スウェーデンのスーパーマーケット Coop が Kaseya 攻撃により 500店舗を閉鎖
Kaseya のゼロデイ脆弱性が FIX の直前に REvil に悪用されてしまった
Kaseya を襲った REvil ランサム被害が拡大している
Kaseya VSA ゼロデイ攻撃に便乗する Cobalt Strike バックドアとは?

%d bloggers like this: