安全研究人员已成功复制最近针对IT管理软件制造商Kaseya及其客户的网络攻击中使用的漏洞。由于网络攻击,Kaseya在6月2日敦促客户立即关闭其VSA端点管理和网络监控工具的本地服务器。Kaseya的SaaS部署似乎没有受到影响,但提供商已关闭该服务以防万一。与REvil勒索软件相关的网络犯罪分子破坏了Kaseya的VSA产品,并使用它向Kaseya的许多客户提供勒索软件。虽然这次攻击只影响了Kaseya的几十个直接客户,但其中大多数是托管服务提供商(MSP),勒索软件通过这些提供商交付给数百甚至数千名客户。托管检测和响应公司Huntress一直在与许多受影响的MSP合作,根据这些公司收集的数据,研究人员能够确定攻击者参与了对多个零日漏洞的利用。该公司的研究人员设法重现了这次攻击,并在周二展示了网络犯罪分子可能使用的漏洞利用链。该漏洞涉及身份验证绕过、任意文件上传和命令注入漏洞。Huntress指出,该漏洞可能允许攻击者植入后门,但幸运的是,攻击者在攻击过程中并未这样做。荷兰漏洞披露研究所(DIVD)表示,Kaseya至少知道攻击者利用的一些漏洞并正在修补这些漏洞。攻击者经常试图加密受感染系统上的文件,从而增加他们获得报酬的机会。一些受害者被告知支付数万美元来恢复文件,而其他财力雄厚的受害者则被勒令支付数百万美元。据了解,一些受害者正在与网络犯罪分子私下谈判以恢复他们的文件。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
