发布时间:2021-07-07 18:21:10,来源:北京奇虎科技有限公司
近日,Kaseya 发布了VSA管理软件的风险通告,报告中指出有多个零日漏洞被用来攻击VSA软件的实例,包括代码注入、身份验证绕过、任意文件上传漏洞,漏洞CVE编号:CVE-2021-30116。攻击者可以利用这些漏洞绕过身份验证直接控制VSA管理端,并可通过管理端进一步控制其下属设备。建议用户通过临时防护措施缓解漏洞风险,做好资产自查以及预防工作,以免遭受黑客攻击。
高危
Kaseya VSA是一款企业用于集中 IT 管理的软件。分为管理端和用户端,管理端可以批量的控制用户端设备,例如在用户端设备上执行命令、执行脚本、开启/关闭电源等。
1、VSA管理程序Endpoint存在一处代码注入漏洞,该漏洞位于userFilterTable Rpt.asp;
2、VSA管理程序Endpoint存在一处身份验证绕过漏洞,该漏洞位于 dl.asp 路由,并可以与该路由下的其他路径功能相组合使用。
3、VSA管理程序Endpoint存在一处任意文件上传漏洞,该漏洞位于KUpload.dll,该上传漏洞的成因是正常的上传功能与身份验证漏洞的结合,导致攻击者可以借此攻陷系统。
Kaseya VSA
目前官方暂未修复该漏洞,建议用户通过以下临时防护方法缓解漏洞风险。
1)断开本地 VSA 服务器的网络连接,并保持设备的离线
2)使用官方提供的检测脚本,针对 VSA 受控的下属设备进行检测
https://helpdesk.kaseya.com/hc/en-gb/articles/4403584098961
https://blog.truesec.com/2021/07/04/kaseya-supply-chain-attack-targeting-msps-to-deliver-revil-ransomware/
https://www.kaseya.com/potential-attack-on-kaseya-vsa