Эксплоит включает обход аутентификации, загрузку произвольных файлов и внедрение команд.
Исследователи в области кибербезопасности из компании Huntress Labs смогли успешно воспроизвести эксплоит, использованный в ходе недавней кибератаки на MSP-провайдера Kaseya и его клиентов.
Вымогательская группировка REvil взломала продукт Kaseya VSA и использовала его для распространения вымогателя среди компьютерных систем компаний и организаций. Специалисты Huntress сотрудничали со многими пострадавшими MSP-провайдерами и в ходе расследования выяснили, что преступники эксплуатировали несколько уязвимостей нулевого дня.
Исследователям удалось воспроизвести атаку и они продемонстрировали цепочку эксплоитов, предположительно использованную киберпреступниками. Эксплоит включает обход аутентификации, загрузку произвольных файлов и внедрение команд.
Как отметили специалисты, эксплоит позволял злоумышленникам внедрить имплант, но, по всей видимости, они этого не сделали.
Kaseya намеревалась восстановить SaaS-серверы VSA 6 июля, но завершить этот процесс не удалось. Компания работает над исправлением уязвимостей, использованных в атаке, и пообещала выпустить исправления для локальных систем в течение 24 часов после восстановления сервисов SaaS.
Одно найти легче, чем другое. Спойлер: это не темная материя