kaseya poc video

Vídeo da Huntress mostra como foi o ataque à Kaseya

O pesquisador de segurança Caleb Stewart reproduziu com sucesso os exploits usados para implantar o ransomware REvil / Sodinokibi no Kaseya VSA
Da Redação
07/07/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

A empresa Huntress publicou agora pela manhã no Reddit informações sobre a prova de conceito do ataque ao VSA, software de propriedade da Kaseya atacado na semana passada. A Kaseya fornece software para provedores de serviços gerenciados e departamentos de TI e tem perto de 40 mil clientes. O vídeo mostra

  • um bypass de autenticação
  • um upload de arquivo arbitrário
  • uma injeção de comando

Stewart explica que “embora os hackers não entreguem um implante com seu exploit, a última metade do vídeo mostra como isso poderia ter sido feito”. Ele sugere que os especialistas interessados usem o MSFVenom para gerar um binário Meterpreter e que peguem o retorno de chamada com o ‘pwncat’.

Em seu post, a Huntress informou que recebeu “uma tonelada de solicitações de MSPs comprometidos”, pedindo detalhes sobre as ações que os hackers realizaram após comprometer o banco de dados do VSA. A Huntress respondeu que “embora não possamos dizer com certeza o que eles fizeram com seu banco de dados, isso é o que descobrimos nos que analisamos”. A publicação agradece a Caleb Stewart, Dave Kleinatland e Jason Phelps, todos da Huntress, e acrescenta “agradecimentos para os MSPs que decidiram compartilhar seus dados para o bem da comunidade. Não teríamos sido capazes de montar esse quebra-cabeça sem você!”

A colaboração dos muitos provedores de serviços gerenciados permitiu à Huntress descobrir que os criminosos estavam explorando várias vulnerabilidades zero day. Os pesquisadores conseguiram reproduzir o ataque e demonstraram uma cadeia de explorações supostamente usadas por cibercriminosos. A exploração inclui ignorar a autenticação, baixar arquivos arbitrários e injeção de comando.

De acordo com especialistas, a exploração permitiu que os invasores injetassem um implante, mas aparentemente não o fizeram. A Kaseya pretendia restaurar os servidores VSA SaaS ainda ontem, dia 6 de julho, mas esse processo não foi concluído. A empresa está trabalhando para corrigir as vulnerabilidades usadas no ataque e prometeu lançar correções para sistemas on-premises dentro de 24 horas após a restauração dos serviços SaaS.

Com agências de notícias internacionais

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest