信息化觀察網(wǎng)

近日安全研究人員成功復(fù)制了最近針對(duì)IT管理軟件制造商Kaseya及其客戶的網(wǎng)絡(luò)攻擊中使用的漏洞。

由于網(wǎng)絡(luò)攻擊，Kaseya于6月2日敦促客戶立即關(guān)閉其VSA端點(diǎn)管理和網(wǎng)絡(luò)監(jiān)控工具的本地服務(wù)器。Kaseya的SaaS部署似乎沒(méi)有受到影響，但作為預(yù)防措施，供應(yīng)商已關(guān)閉該服務(wù)。

與REvil勒索軟件相關(guān)的網(wǎng)絡(luò)犯罪分子入侵了Kaseya的VSA產(chǎn)品，并通過(guò)該產(chǎn)品向Kaseya的很多客戶投放了勒索軟件。雖然這次攻擊只是影響了Kaseya的數(shù)十名直接客戶，但這數(shù)十名客戶中大部分都是托管服務(wù)提供商(MSP)，因此，勒索軟件已通過(guò)這些MSP投送給數(shù)百甚至數(shù)千名客戶。

托管檢測(cè)和響應(yīng)公司Huntress一直在與許多受影響的MSP合作，從這些公司收集的數(shù)據(jù)，研究人員能夠確定攻擊者涉及利用了幾個(gè)零日漏洞。

該公司的研究人員設(shè)法重現(xiàn)了攻擊，并在周二展示了網(wǎng)絡(luò)犯罪分子可能使用的漏洞利用鏈。該漏洞涉及身份驗(yàn)證繞過(guò)、任意文件上傳和命令注入缺陷。

Huntress指出，該漏洞可能允許攻擊者植入后門(mén)程序，但好在攻擊者沒(méi)有在攻擊過(guò)程中這么做。

荷蘭漏洞披露研究所(DIVD)表示，Kaseya至少已經(jīng)意識(shí)到攻擊者利用的一部分漏洞是什么，并且正在修補(bǔ)它們。

攻擊者通常都會(huì)設(shè)法對(duì)受感染系統(tǒng)上的文件進(jìn)行加密，進(jìn)而增加他們獲得報(bào)酬的機(jī)會(huì)。目前一部分受害者被告知要支付數(shù)萬(wàn)美元來(lái)恢復(fù)文件，而其他財(cái)力更為雄厚的受害者則被要求支付數(shù)百萬(wàn)美元。據(jù)了解，一些受害者正在與網(wǎng)絡(luò)犯罪分子私下談判，希望能恢復(fù)他們的文件。