当前位置:首页 > 漏洞预警 > 正文

Kaseya VSA 远程代码执行零日漏洞(CVE‐2021‐30116)预警

发布时间:2021-07-07 18:21:10,来源:北京奇虎科技有限公司

      一、 基本情况

近日,Kaseya 发布了VSA管理软件的风险通告,报告中指出有多个零日漏洞被用来攻击VSA软件的实例,包括代码注入、身份验证绕过、任意文件上传漏洞,漏洞CVE编号:CVE-2021-30116。攻击者可以利用这些漏洞绕过身份验证直接控制VSA管理端,并可通过管理端进一步控制其下属设备。建议用户通过临时防护措施缓解漏洞风险,做好资产自查以及预防工作,以免遭受黑客攻击。

     二、 漏洞等级

高危

      三、 漏洞描述

Kaseya VSA是一款企业用于集中 IT 管理的软件。分为管理端和用户端,管理端可以批量的控制用户端设备,例如在用户端设备上执行命令、执行脚本、开启/关闭电源等。

1、VSA管理程序Endpoint存在一处代码注入漏洞,该漏洞位于userFilterTable Rpt.asp;

2、VSA管理程序Endpoint存在一处身份验证绕过漏洞,该漏洞位于 dl.asp 路由,并可以与该路由下的其他路径功能相组合使用。

3、VSA管理程序Endpoint存在一处任意文件上传漏洞,该漏洞位于KUpload.dll,该上传漏洞的成因是正常的上传功能与身份验证漏洞的结合,导致攻击者可以借此攻陷系统。

      四、 影响范围

Kaseya VSA

      五、 安全建议

目前官方暂未修复该漏洞,建议用户通过以下临时防护方法缓解漏洞风险。

1)断开本地 VSA 服务器的网络连接,并保持设备的离线

2)使用官方提供的检测脚本,针对 VSA 受控的下属设备进行检测

     六、 参考链接

https://helpdesk.kaseya.com/hc/en-gb/articles/4403584098961

https://blog.truesec.com/2021/07/04/kaseya-supply-chain-attack-targeting-msps-to-deliver-revil-ransomware/

https://www.kaseya.com/potential-attack-on-kaseya-vsa