Группировка REvil успела проэксплуатировать уязвимости до выпуска патча.
На прошлой неделе вымогательская группировка REvil взломала продукт MSP-провайдера Kaseya Virtual System Administrator (VSA) с целью внедрения вымогательского ПО в компьютерные системы компаний и организаций по всему миру. Киберпреступники в ходе атаки проэксплуатировали уязвимости нулевого дня в VSA. Как стало теперь известно, о данных проблемах поставщику сообщили еще в апреле нынешнего года, но патч для CVE-2021-30116 не смогли подготовить вовремя.
Специалисты нидерландской некоммерческой организации DIVD (Dutch Institute for Vulnerability Disclosure) в частном порядке сообщили Kaseya о семи уязвимостях в VSA. Четыре были исправлены с выпуском обновлений безопасности в апреле и мае нынешнего года. Три из них должны быть исправлены в следующей версии — VSA 9.5.7.
К сожалению, одна из этих неисправленных проблем (CVE-2021-30116) была использована вымогателями до выпуска патча.
По словам некоторых экспертов, преступники использовали комбинацию из трех уязвимостей нулевого дня для атаки на VSA — уязвимость обхода аутентификации, уязвимость загрузки произвольного файла и уязвимость внедрения кода.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках