聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
专栏·供应链安全
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
远程管理软件供应商 Kaseya 表示已找到并正在缓解用于上周五供应链勒索事件的一个漏洞。全球数千家企业的网络被部署了该勒索软件。
这起供应链勒索事件发生在美国当地时间7月2日周五,正是多数美国 IT 企业准备欢度7月4日独立日假期的时候。
最初有报道称,勒索团伙可能获得 Kaseya 公司后端基础设施的访问权限并利用该权限在运行于客户现场的 VSA服务器上部署了恶意更新。该恶意更新通过VSA服务器将 REvil 勒索软件版本安装到所有联网工作站,感染了连接到遭攻击的VSA系统的其它第三方企业网络。
攻击者如何获悉该漏洞?
但荷兰的一家网络安全组织机构 DIVD 在今天发布的博客文章中指出,攻击者利用的 Kaseya VSA 服务器漏洞正是其安全研究员在几周前发现的。DIVD 公司总裁 Gevers 指出,“DIVD 研究员 Wietse Boonstra 之前曾找到多个 0day 漏洞(CVE-2021-30116),目前正被用于勒索攻击中。另外我们已经根据负责任披露指南(即漏洞协同披露)要求将漏洞告知 Kaseya公司。”
Gevers 指出,事件发生时Kaseya 公司正在修复该漏洞。Gevers 并未透露该漏洞如何会落入勒索软件团伙手中。他指出,“该危机发生后,会有人问谁该担责。从我们的角度而言,我们认为 Kaseya 公司非常具有合作精神,他们表现出真诚做正确的事的态度。遗憾的是,我们在最后一刻被 REvil 打败了,因为在客户打补丁之前它们就利用了这些漏洞。”
Gevers 拒绝分享该漏洞的详情,不过率先发现这些攻击的首批安全且用之一Huntress Labs 在 Reddit 论坛评论中指出,多数迹象表明该漏洞是位于 VSA web 界面上的一个认证绕过漏洞。Huntress 公司指出,至少有8个管理服务提供商 (MSPs) (向没有IT部门的小型公司提供远程IT服务的企业,一般是 Kaseya 公司的主要客户库)被攻陷,其超过200名客户受影响。
该漏洞似乎被用于绕过 VSA web 面板上的认证机制,随后在 VSA 工具上运行 SQL 命令并向所有联网客户端部署勒索软件。在客户网络中,该 VSA 工具部署了一个“VSA代理热补丁“包,使用Kaseya 公司用于加密本地工作站但版本老旧且易受攻击的 Microsoft Defender app绕过了杀软解决方案。
也有人分析指出,攻击似乎利用了一个0day 并给出了恶意 VSA 软件更新,该更新分发勒索软件以加密受陷系统上的文件。安全研究员 Kevin Beaumont 指出,VSA 以管理员权限运行,使得攻击者还能将勒索软件传播给受影响 MSPs 的客户。在失陷系统上,该恶意软件试图禁用 Microsoft Defender 的端点防护措施,包括实时监控、IPS、脚本扫描、网络防护、云样本提交、云查询以及受控文件夹访问等。雪上加霜的是,就在该勒索软件被部署前不久,VSA 管理员账户明显已被禁用。
Sophos 公司的研究员 Mark Loman 指出,“REvil 二进制 C:\Windows\mpsvc.dll 被测加载到合法的 Microsoft Defender 拷贝,之后被复制到 C:\Windows\MsMpEng.exe,从合法进程运行加密。“该勒索软件加密器的签名是加拿大一家运输公司的合法数字化签名。
Truesec 公司发布文章指出,已经发现攻击者使用的 exploit 代码,它为由认证绕过、任意文件上传和代码注入多个缺陷组成的 0day exploit。
另外文章指出,攻击者发动 exploit 的 IP 地址是161[.]35.239.148 User-Agent: curl/7.69.1文章指出,组织机构和响应团队可借此判断VSA服务器是否遭攻击。由于利用正在进行,因此 IIS 日志已清空,因此IIS 日志中缺少指标并不意味着系统未被利用。不过也指出目前并不了解攻击者是否为每个已遭利用的 VSA 服务器更改了源IP地址,但认为应该存在大幅重叠情况。
Kaseya 公司的一名发言人指出,他们无法就正在进行的犯罪调查置评;然而,在上周六的新闻更新中,该公司指出现在已经发现了攻击中利用的漏洞并且正在准备缓解措施。
Kaseya公司还表示已经请火眼公司及其它安全公司协助调查,同时为拥有本地 VSA 服务器的所有客户发布新工具 “攻陷检测工具 (Compromise Detection Tool)“,帮助他们判断服务器是否受勒索影响。
多数 VSA 服务器已脱机
要不是 Kaseya 关闭其云基础设施并督促所有VSA所有人将服务器脱机,则这起攻击本会造成更糟糕的后果。
DIVD 公司已扫描互联网上的所有 VSA 服务器,表示目前仍有不到140台服务器仍然处于联网状态,而在攻击发生前,这个数字是2200台。
几天后,Kaseya VSA 服务器所受攻击的影响范围才会确定并公布。
上周五,Kaseya 公司的首席执行官 Fred Voccola 指出,在数千名客户中,仅有不到40名客户的服务器被黑并被滥用于传播勒索软件。
然而,多数VSA服务器用于管理服务提供商(MSPs)即管理其它客户基础设施的企业,这意味着即使仅有40台 VSA 服务器被黑,但攻击者很可能已将勒索软件部署到了数千个企业网络中。
目前已证实受影响的 MSPs 包括 Visma、EssCom、Synnex 和 Avtex。据最新消息报道,瑞典最大的连锁超市之一 Coop,因其中一家承包商遭 Kaseya 攻击事件影响不得不关闭全国近800家店。这家超市在官网表示,在800多家店中,只有5家不受影响。虽然 Coop 公司并未就此事置评,但其软件供应商之一 Visma EssCom 证实称自己受Kaseya 事件影响。
上周六,杀软厂商 ESET 指出检测到 REvil 勒索软件感染情况激增,并认为和 Kaseya 事件有关。该公司的一名发言人指出,“首波感染发生在下午六点半,第二波发生在晚上8点45至9点55期间。”从该公司的遥感数据得知,受感染最严重的系统依次于英国、南非、德国和美国。
目前Kaseya/REvil 事件被认为是网络犯罪团伙执行的最大规模的勒索攻击。虽然2017年发生的三起勒索攻击(WannaCry、NotPetya 和 Bad Rabbit)规模更大,但均和国家黑客有关,不同于以经济利益为目标的 REvil 团伙。REvil 勒索团伙被认为是当前最高阶的勒索软件即服务操纵者。
REvil 勒索软件此前曾要求受害者支付5万美元至500万美元的勒索金,而在最近针对肉类巨头 JBS 的勒索事件中,成功获得1100万美元的勒索金。最新报道称,该勒索团伙本次要求 Kaseya 公司付出价值7000万美元的比特币才会发布通用解码密钥,并表示受感染系统超过100万个。目前,Kaseya 公司尚未置评。
对事件响应的影响
安全专家发布警告称,很多企业使用 Kaseya 公司的工具作为事件响应流程的一部分,而如果失去利用该工具的能力则可能会造成巨大问题。
Nozomi Networks 公司的技术布道者 Chris Grove 指出,“这种供应链攻击类似于 SolarWinds 攻击,直击想要从数据泄露攻击中恢复的组织机构的要害。用于这种技术管理解决方案通过提升的权限、更新所需的不受限制的防火墙规则以及出于对其流量是合法且可允许的文化‘信任’,收集了大量企业账户,因此风险的集中度很高。一旦数据泄露事件发生,受害者通常会求助于这些工具解决麻烦,但当工具本身是问题时或者无法使用时,使得恢复过程更加复杂。“
BreachQuest 公司的联合创始人兼首席技术官 Jake Williams 指出,“很难解释这起攻击会对 Kaseya VSA 客户产生的灾难性影响有多大。我们多数使用 Kaseya 的客户都将其作为系统管理、软件安装和可见性的单一 IT 工具。当前,在勒索攻击事件中,他们无法使用所投资的工具予以缓解。我们合作过的多数 Kaseya 客户都没有准备应急预案。更糟糕的是,鉴于事件发生在美国假期期间,在下周前我们不可能了解到这起事件的全部影响。“
推荐阅读
NIST 按行政令关于加强软件供应链安全的要求,给出“关键软件”的定义及所含11类软件
Linux 应用市场易受RCE和供应链攻击,多个0day未修复
给开发者的9个安全建议:既能保护供应链安全,也不会拖慢开发进程
原文链接
https://therecord.media/kaseya-zero-day-involved-in-ransomware-attack-patches-coming/
https://www.securityweek.com/it-software-firm-kaseya-hit-supply-chain-ransomware-attack
https://therecord.media/supermarket-chain-coop-closes-800-stores-following-kaseya-ransomware-attack/
https://blog.truesec.com/2021/07/04/kaseya-supply-chain-attack-targeting-msps-to-deliver-revil-ransomware/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
372
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
