A empresa Huntress publicou agora pela manhã no Reddit informações sobre a prova de conceito do ataque ao VSA, software de propriedade da Kaseya atacado na semana passada. A Kaseya fornece software para provedores de serviços gerenciados e departamentos de TI e tem perto de 40 mil clientes. O vídeo mostra
- um bypass de autenticação
- um upload de arquivo arbitrário
- uma injeção de comando
Stewart explica que “embora os hackers não entreguem um implante com seu exploit, a última metade do vídeo mostra como isso poderia ter sido feito”. Ele sugere que os especialistas interessados usem o MSFVenom para gerar um binário Meterpreter e que peguem o retorno de chamada com o ‘pwncat’.
Em seu post, a Huntress informou que recebeu “uma tonelada de solicitações de MSPs comprometidos”, pedindo detalhes sobre as ações que os hackers realizaram após comprometer o banco de dados do VSA. A Huntress respondeu que “embora não possamos dizer com certeza o que eles fizeram com seu banco de dados, isso é o que descobrimos nos que analisamos”. A publicação agradece a Caleb Stewart, Dave Kleinatland e Jason Phelps, todos da Huntress, e acrescenta “agradecimentos para os MSPs que decidiram compartilhar seus dados para o bem da comunidade. Não teríamos sido capazes de montar esse quebra-cabeça sem você!”
A colaboração dos muitos provedores de serviços gerenciados permitiu à Huntress descobrir que os criminosos estavam explorando várias vulnerabilidades zero day. Os pesquisadores conseguiram reproduzir o ataque e demonstraram uma cadeia de explorações supostamente usadas por cibercriminosos. A exploração inclui ignorar a autenticação, baixar arquivos arbitrários e injeção de comando.
De acordo com especialistas, a exploração permitiu que os invasores injetassem um implante, mas aparentemente não o fizeram. A Kaseya pretendia restaurar os servidores VSA SaaS ainda ontem, dia 6 de julho, mas esse processo não foi concluído. A empresa está trabalhando para corrigir as vulnerabilidades usadas no ataque e prometeu lançar correções para sistemas on-premises dentro de 24 horas após a restauração dos serviços SaaS.
Com agências de notícias internacionais