7月12日報導更新  被駭客攻擊的10天後,Kaseya終於修補Kaseya VSA

專門開發網路、系統與資訊科技基礎設施託管軟體的美國業者Kaseya,在美東夏令時間(EDT)上周五(7/2)下午4點左右(臺北時間7/3凌晨4點)發現,駭客藉由危害該公司的遠端監控與管理軟體Kaseya VSA,針對Kaseya客戶展開REvil勒索軟體攻擊,資安業者Huntress估計至少有數千家小型企業受到衝擊,而REvil則對外宣稱已加密了逾100萬個系統,此事更驚動了白宮,美國總統拜登(Joy Biden)已指示,包括FBI與CISA等美國政府組織全力協助Kaseya。

Kaseya VSA為一統一的遠端監控與管理軟體,它能同時監控網路並管理各種端點裝置,包括自動化各種任務、緩解IT意外,還能自動進行漏洞管理與安全修補。Kaseya除了打造就地部署的Kaseya VSA軟體之外,也提供了雲端的VSA SaaS服務。

圖片來源_Kaseya

Kaseya在2日指出,駭客攻擊了就地部署的Kaseya VSA軟體,但並未危及VSA SaaS服務,建議Kaseya VSA軟體客戶立即關閉相關的伺服器,且為防萬一,Kaseya也暫時關閉VSA SaaS服務。

儘管Kaseya在2日時表示,全球只有不到40家採用Kaseya VSA軟體的客戶受到影響,但資安業者Huntress則說,有30家採用Kaseya VSA軟體的託管服務供應商(MSPs)受到波及,這些供應商分別位於美國、澳洲、歐洲與拉丁美洲,而它們已有超過1,000家客戶的系統被加密。

Huntress指出,在該公司所追蹤的30家MSP業者中,有許多並無充足的能力可同時服務或回應逾50家遭到加密的客戶,如同一個消防局並無能力同時處理在同一時間著火的50間房子。

而根據Huntress的分析,REvil駭客是利用Kaseya VSA網頁介面的認證缺陷,以繞過該服務的身分認證,再上傳酬載,並透過Kaseya VSA的資料隱碼(SQL Injection)漏洞執行命令。

此外,Huntress也在REvil的官網上看到駭客的聲明,駭客宣稱它們已對眾多的MSP業者發動攻擊,加密了數百萬個系統,若有人想一次協商一個通用的解密工具,那麼售價是價值7,000萬美元的比特幣。

圖片來源_Huntress

現身於2019年的REvil勒索軟體被卡巴斯基列為2021年的前五大勒索軟體,它的市占率為11%,僅次於Maze與Conti,主要鎖定的攻擊對象就是MSP業者,猜測是來自俄羅斯的駭客集團所為。

在得知客戶遭到攻擊之後,Kaseya很快就知會了FBI與CISA,並聘請FireEye與其它資安業者協助緩解相關攻擊,以及找出解決之道。目前Kaseya已釋出人侵偵測工具(Compromise Detection Tool )供客戶部署並修補漏洞。在7月3日晚間時,約有900家客戶向Kaseya索取相關工具。

截至7月4日下午五點半(臺北時間5日上午五點半),Kaseya依舊建議Kaseya VSA客戶關閉伺服器,若要重新啟用必須先安裝修補程式,至於VSA SaaS也要到7月5日才會陸續重新上線,並將關閉較少用的功能以減少潛在的攻擊表面。

FBI與CISA除了已針對該攻擊展開調查之外,亦鼓勵受害者向它們通報,表示它們雖然無法對每個個別的受害者作出回應,但所有的訊息都將有助於應對相關威脅。

此一攻擊的規模之大亦已驚動美國總統,拜登除了指示FBI等政府機關全力協助Kaseya之外,還說目前並不確定此事是否與俄羅斯政府有關,等到他得到更完整的資訊之後,將會進一步作出回應。

熱門新聞

Advertisement