Un gruppo di ricercatori olandesi avevano segnalato ad aprile le vulnerabilità presenti nella piattaforma Kaseya VSA. L’azienda della Florida ha rilasciato le patch per alcune di esse, ma tre bug non sono stati ancora corretti. Uno di essi è stato sfruttato per effettuare l’attacco ransomware del 2 luglio. Come spesso capita in questi casi, alcuni malintenzionati hanno avviato una campagna di spam per distribuire un malware.
Kaseya sapeva tutto dal mese di aprile
I ricercatori olandesi hanno scoperto sette vulnerabilità in Kaseya VSA durante una ricerca avviata all’inizio aprile. L’azienda statunitense è stata informata il 6 aprile. Quattro bug sono stati corretti tra il 10 aprile e l’8 maggio. Per gli altri tre si dovrà attendere la versione 9.5.7 del software. La vulnerabilità identificata con CVE-2021-30120 è quella sfruttata dal gruppo REvil per aggirare l’autenticazione a due fattori e installare il ransomware.
I ricercatori non hanno divulgato nessun dettaglio sulle vulnerabilità, seguendo la cosiddetta “responsible disclosure”. Ciò avverrà solo in seguito alla distribuzione di tutte le patch e all’installazione sul maggior numero di sistemi. Kaseya ha comunicato che si è verificato un problema durante il rilascio di una delle patch, quindi la procedura è stata interrotta.
L’azienda ha pubblicato un “runbook” per indicare la sequenza dei passi da seguire prima di installare le patch e quindi prima di riavviare il software VSA.
Malwarebytes ha intanto scoperto una campagna di spam che approfitta della situazione. Alcuni clienti di Kaseya hanno ricevuto una email con allegata una presunta patch di Microsoft per le vulnerabilità di Kaseya VSA. In realtà si tratta del tool Cobalt Strike che consente l’accesso remoto ai computer.
Ti potrebbe interessare
8 lug 2021