Kaseya REvil ransomware আক্রমণে ব্যবহৃত VSA দুর্বলতা ঠিক করে

  • প্রধান
  • খবর
  • Kaseya REvil ransomware আক্রমণে ব্যবহৃত VSA দুর্বলতা ঠিক করে

Kaseya MSP এবং তাদের গ্রাহকদের আক্রমণ করতে REvil ransomware গ্যাং দ্বারা ব্যবহৃত VSA শূন্য-দিনের দুর্বলতার জন্য একটি নিরাপত্তা আপডেট প্রকাশ করেছে।

Kaseya VSA হল একটি দূরবর্তী পর্যবেক্ষণ এবং ব্যবস্থাপনা সমাধান যা সাধারণত পরিচালিত পরিষেবা প্রদানকারীরা তাদের গ্রাহকদের সমর্থন করার জন্য ব্যবহার করে। MSPs তাদের নিজস্ব সার্ভার ব্যবহার করে প্রাঙ্গনে VSA গুলি স্থাপন করতে পারে বা Kaseya-এর ক্লাউড-ভিত্তিক SaaS সমাধান ব্যবহার করতে পারে।

এপ্রিলে, দ নেদারল্যান্ডস ইনস্টিটিউট ফর ভালনারেবিলিটি ডিসক্লোজার (ডিভিডি) কাসেয়াতে সাতটি দুর্বলতা প্রকাশ করেছে:

  • CVE-2021-30116 - একটি শংসাপত্র ফাঁস এবং ব্যবসায়িক যুক্তির ত্রুটি, 9.5.7 এ অন্তর্ভুক্ত করা হবে৷
  • CVE-2021-30117 - একটি SQL ইনজেকশন দুর্বলতা, মে 8 প্যাচে স্থির করা হয়েছে৷
  • CVE-2021-30118 - একটি দূরবর্তী কোড কার্যকর করার দুর্বলতা, এপ্রিল 10 প্যাচে স্থির করা হয়েছে৷ (v9.5.6)
  • CVE-2021-30119 - একটি ক্রস সাইট স্ক্রিপ্টিং দুর্বলতা, 9.5.7 এ অন্তর্ভুক্ত করা হবে
  • CVE-2021-30120 - বাইপাস 2FA, v9.5.7 এ ঠিক করা হবে
  • CVE-2021-30121 - একটি স্থানীয় ফাইল অন্তর্ভুক্তি দুর্বলতা, মে 8 প্যাচে স্থির করা হয়েছে৷
  • CVE-2021-30201 - একটি XML বাহ্যিক সত্তা দুর্বলতা, মে 8 প্যাচে স্থির করা হয়েছে৷

কাসেয়া তার SaaS VSA পরিষেবার বেশিরভাগ দুর্বলতাগুলিকে প্যাচ করেছিল, কিন্তু VSA-এর স্থানীয় সংস্করণের প্যাচিং সম্পূর্ণ করেনি৷

দুর্ভাগ্যবশত, REvil ransomware গ্যাং কাসেয়াকে শেষ লাইনে পরাজিত করে এবং এই দুর্বলতাগুলিকে ব্যবহার করে 2 জুলাই প্রায় 60টি MSPs-এর বিরুদ্ধে অন-প্রিমিসেস VSA সার্ভার এবং 1,500 কর্পোরেট গ্রাহকদের বিরুদ্ধে ব্যাপক আক্রমণ চালায়।

আক্রমণে কোন দুর্বলতাগুলি ব্যবহার করা হয়েছিল তা স্পষ্ট নয়, তবে এটি একটি বা CVE-2021-30116, CVE-2021-30119, এবং CVE-2021-30120 এর সংমিশ্রণ বলে মনে করা হয়।

Kaseya নিরাপত্তা আপডেট প্রকাশ

আক্রমণের পর থেকে, কাসেয়া সাইটে ভিএসএ গ্রাহকদের একটি প্যাচ প্রস্তুত না হওয়া পর্যন্ত তাদের সার্ভার বন্ধ করার জন্য অনুরোধ করেছে।

হামলার প্রায় দশ দিন পর কাসেয়া VSA 9.5.7a আপডেট প্রকাশিত হয়েছে (9.5.7.2994) REvil ransomware আক্রমণে ব্যবহৃত দুর্বলতাগুলি ঠিক করতে।

এই প্রকাশের সাথে, কাসেয়া নিম্নলিখিত দুর্বলতাগুলি ঠিক করেছে:

  • প্রমাণপত্রের ক্ষতি এবং ব্যবসায়িক যুক্তির অভাব: CVE-2021-30116
  • ক্রস-সাইট স্ক্রিপ্টিং দুর্বলতা: CVE-2021-30119
  • বাইপাস 2FA: CVE-2021-30120
  • ব্যবহারকারী পোর্টাল সেশন কুকিজের জন্য নিরাপত্তা পতাকা ব্যবহার করা হয়নি এমন একটি সমস্যা সমাধান করা হয়েছে।
  • একটি সমস্যা সমাধান করা হয়েছে যেখানে কিছু API প্রতিক্রিয়াতে একটি পাসওয়ার্ড হ্যাশ রয়েছে, সম্ভাব্য দুর্বল পাসওয়ার্ডগুলিকে নৃশংস বল আক্রমণের জন্য উন্মুক্ত করে৷ পাসওয়ার্ড মান এখন সম্পূর্ণরূপে মাস্ক করা হয়েছে.
  • VSA সার্ভারে অননুমোদিত ফাইল আপলোড করার অনুমতি দিতে পারে এমন একটি দুর্বলতা সংশোধন করা হয়েছে৷

তবে, কাসেয়া ক্লায়েন্টদের অনুসরণ করার আহ্বান জানিয়েছেন ' স্থানীয়ভাবে VSA চালু করার প্রস্তুতির জন্য একটি নির্দেশিকা 'আরও লঙ্ঘন রোধ করতে এবং ডিভাইসগুলি ইতিমধ্যে আপোস করা হয়নি তা নিশ্চিত করতে আপডেট ইনস্টল করার আগে।

VSA সার্ভারগুলি পুনরায় চালু করার আগে এবং সেগুলিকে ইন্টারনেটে সংযুক্ত করার আগে প্রশাসকদের এই মৌলিক পদক্ষেপগুলি অনুসরণ করা উচিত:

  • নিশ্চিত করুন যে আপনার VSA সার্ভার বিচ্ছিন্ন
  • আপস (IOC) নিয়ন্ত্রণ ব্যবস্থার সূচক
  • VSA সার্ভার ওএস প্যাচ
  • আইআইএস-এর মাধ্যমে ভিএসএ-তে অ্যাক্সেস নিয়ন্ত্রণ করতে URL পুনর্লিখন ব্যবহার করা
  • ফায়ারআই এজেন্ট ইনস্টল করুন
  • মুলতুবি থাকা স্ক্রিপ্ট / কাজ মুছুন

এই পদক্ষেপগুলির মধ্যে, প্যাচ ইনস্টলেশনের সময় আপস এড়াতে স্থানীয় VSA সার্ভারগুলি ইন্টারনেট থেকে সর্বজনীনভাবে অ্যাক্সেসযোগ্য নয়।

Kaseya গ্রাহকদের তার 'কম্প্রোমাইজ ডিটেকশন টুল' ব্যবহার করতে উৎসাহিত করে, একটি VSA সার্ভার বা এন্ডপয়েন্টের সাথে আপস করা হয়েছে কিনা তা শনাক্ত করতে পাওয়ারশেল স্ক্রিপ্টের একটি সংগ্রহ।

স্ক্রিপ্টগুলি এন্ডপয়েন্টে 'Kaseya webpages managedfiles vsaticketfiles agent.crt' এবং 'Kaseya ওয়েবপেজ পরিচালিত ফাইল vsaticketfiles agent.exe' এবং 'agent.crt' এবং 'agent.exe'-এর জন্য VSA সার্ভারগুলি পরীক্ষা করবে।

REvil অ্যাফিলিয়েট REvil ransomware এক্সিকিউটেবল বিতরণ করার জন্য agent.crt এবং agent.exe ফাইল ব্যবহার করেছে।

অতিরিক্ত নিরাপত্তার জন্য, কাসেয়া স্থানীয় VSA অ্যাডমিনিস্ট্রেটরকে স্থানীয় আইপি ঠিকানা এবং নিরাপত্তা পণ্য দ্বারা ব্যবহৃত বলে পরিচিত ওয়েব GUI অ্যাক্সেস সীমিত করার পরামর্শ দেন।

'অন-প্রিমিসেস VSA ইনস্টলেশনের জন্য, আমরা ইন্টারনেট ফায়ারওয়ালে ইনবাউন্ড পোর্ট 443 ব্লক করে স্থানীয় IP ঠিকানাগুলিতে VSA ওয়েব GUI-তে অ্যাক্সেস সীমিত করার পরামর্শ দিই। কিছু ইন্টিগ্রেশনের জন্য পোর্ট 443-এ ভিএসএ সার্ভারে অন্তর্মুখী অ্যাক্সেসের প্রয়োজন হতে পারে। নীচে আইপি ঠিকানাগুলির একটি তালিকা রয়েছে যা আপনি আপনার ফায়ারওয়ালে সাদা তালিকাভুক্ত করতে পারেন (443 ইনবাউন্ড থেকে FROM অনুমতি দিন), যদি আপনি আপনার স্থানীয় VSA পণ্যের সাথে এই ইন্টিগ্রেশনগুলি ব্যবহার করেন'। ব্যাখ্যা করা কাসেয়া।

প্যাচ ইনস্টল করার পরে, সমস্ত ব্যবহারকারীকে তাদের পাসওয়ার্ড পরিবর্তন করার জন্য অনুরোধ করা হবে যেটি নতুন পাসওয়ার্ড প্রয়োজনীয়তা ব্যবহার করে।

আপনি কি মনে করেন?