Kaseya VSA包括至少“七八”私人已知的零天漏洞,然后才遭受了广泛的勒索软件攻击影响了数百家企业沃德奇漏洞披露董事长或DIVD,一个志愿者运行组织的沃茨普罗斯省,或者在4月1日,在Kaseya VSA中发现了一个远程代码执行漏洞的志愿者Gevers。

与Malwarebytes发表锁定必威平台APP和代码播客(嵌入下面Gevers),表明Kaseya VSA漏洞代表只是一个数据点在一个更大的和更令人担忧的趋势,面向internet远程管理工具是充满缺陷,随着组织越来越依赖这些工具对于在家工作环境,网络犯罪将越来越多地发现,目标,并利用这些缺陷。

"我们很清楚地看到这些信号,即网上和互联网上的产品质量达不到我们目前所处的状况," Gevers说。“对于攻击者来说,这是最好的方式,当然,仅次于发送钓鱼邮件。这将永远存在,因为我们无法学会停止(点击东西)。但从长远来看,这第二件事会毁了我们。”

7月2日针对Kaseya VSA的勒索软件攻击很快被认为是近年来最严重的网络攻击之一。在这次攻击中,REvil勒索软件团伙的成员在禁用微软防御软件(Microsoft Defender)的几个保护功能后,发布了恶意Kaseya VSA更新,锁定了电脑和网络。微软防御软件是目前大多数Windows电脑上安装的默认防恶意软件。然而,由于Kaseya VSA是受管服务提供商使用的更流行的远程监控和管理工具之一,因此攻击的影响要大得多。被攻击的MSPs不仅看到自己的系统被加密,还看到他们支持的客户端系统被加密。

从本质上讲,攻击是向下的,首先攻击Kaseya VSA用户——MSPs,然后攻击依赖这些MSPs进行日常IT支持的企业。

据报道,数百家企业受到冲击。新西兰的学校警告他们的员工,他们的电脑可能无法访问。瑞典连锁杂货店Coop关闭大约500家商店多天。马里兰州的两个小城镇看到他们的系统锁定.这种规模促使Kaseya的首席执行官公开发表声明

对于GEVERS来说,受害者的数量很令人沮丧,这在很大程度上是因为他和他的团队正在与Kaseya合作,以修补前几个月的VSA漏洞。GEVERS表示,在4月1日发现远程代码执行漏洞的一天内,DIVD建立了一个团队进行调查。

“我们打开一个箱子,让其他安全工程师参与进来。如果我们能找到[Kaseya VSA]的副本,那么我们就会得到自己的副本,一个试用版本来运行。我们建立了一个实验室。然后我们必须通过创建指纹的过程,因为我们想扫描整个互联网,我们想查看世界上的每一个网络服务器,以获得特定的指纹,这样我们就知道这些面板的确切位置,”Gevers说。“在一天之内,我们就能扫描所有面向互联网的情况下,我们花了两天的时间开始识别可能的受害者,他们有预装版本。”

DIVD编译了一份报告,该报告显示了“所有大部分实施方式”以及独特的客户ID代码,仅在第6天将报告提供给Kaseya,仅在首次发现该漏洞后几天。

Kaseya对脆弱性负责,并开始开发贴片,Gevers表示,Divd帮助测试了有效性。在此期间,DIVD还提供了一个版本的Kaseya VSA,更广泛地测试,并且在这些测试中,GEVERS表示,研究人员发现了额外的缺陷。

“我们终于在测试实验室中运行了我们的版本,”GEVERS说。“这就是它是如何从一个零日[到]七或八个,最终。”

Gevers说,虽然Kaseya成功地在Kaseya VSA的SaaS实现上快速测试了补丁,但仍然依赖本地版本的客户遇到了更多麻烦。但在测试进行到一半时,为时已晚:

“他们花了相当多的精力和时间,以及越来越多的专业知识来找到正确的补丁——进行测试,通过质量保证。然后,灾难来了。”

攻击的辐射是外部和内部。

在内部,Gevers说,DIVD已经在考虑如何改进协同漏洞披露——作为一个过程——因为,尽管早在4月6日就发布了机密警告,一些系统仍然是脆弱的。虽然许多潜在的受害者被DIVD和Kaseya长达数月的工作拯救了,但Gevers说他更希望根本没有受害者。

外部超出了赎金软件攻击本身的直接损坏 - GEVERS表示,安全管理员无法再远离越来越多的问题,这些问题会影响他们每天依赖的工具。

Gevers说:“我们理解,让你的管理面板,你的RDP,你的VNC,你的共享主机面板…所有这类维护和管理的东西,让它直接连接到互联网是很方便的。”“但这根本不安全,因为软件总是存在问题。”

Gevers说,这些缺陷既不是孤立的,也不是复杂的:

“这不仅仅是在Kaseya上袭击。vembu,它是一样的。您知道的最新Citrix Bug,导致中断。脉冲VPN。对不起,但这些漏洞 - 这些漏洞不是先进。根本没有先进。“

对于Gevers来说,有一条明确的前进道路:尽快修复当前的漏洞,并防止未来出现类似缺陷的产品进入市场。

在短期内,GEVERS要求更多的安全志愿者。在Divd,球队太小而且没有地理位置上的分散足以处理全球的网络攻击。例如,在佛罗里达州迈阿密志愿者,佛罗里达州佛罗里达州附近,可以帮助Divd,Gevers说。

长期以来,GEVERS强调,软件供应商对其产品的责任更大。他要求供应商邀请第三方审稿人分析软件代码,并远离无意义的营销语言。通过为消费者提供更多信息,来自可信分析师关于产品如何表现以及它可能拥有的漏洞,GEVERS表示,市场将希望奖励安全透明的软件。最后,GEVERS表示,世界各国应更好地激励独立的安全研究,以便网络安全研究人员不会害怕令人恐惧或害怕报告他们的发现。

吉弗斯说,未来岌岌可危:

“我们有责任为下一代确保互联网足够安全……因为我们总是给下一代留下政治挑战、社会挑战、环境挑战和经济挑战。”我们能不能留下一个我仍然可以信任的通信网络?”

请在下面收听由主持人大卫·鲁伊斯主持的完整的《锁与代码》播客。

无法显示此视频,因为您的功能性饼干目前禁用。

要启用它们,请访问我们的隐私政策并搜索cookie部分。选择“点击这里”打开隐私偏好中心并选择“功能饼干”在菜单中。您可以将标签切换回“活跃”或通过移动标签来禁用“不活跃。”点击“保存设置”。

你也可以在上面找到我们Apple Podcasts.Spotify, 和谷歌播客,再加上你喜欢的播客平台。