Kaseya Rilis Tambalan Kerentanan yang Dieksploitasi Ransomware REvil

Andi Nugroho
 Senin, 12 Juli 2021 - 10:29 WIB   2154

Kaseya | Foto: Shutterstock

Cyberthreat.id – Perusahaan perangkat lunak manajemen TI, Kaseya, akhirnya merilis pembaruan keamanan untuk menambal kerentanan pada aplikasi Kaseya VSA yang awal Juli lalu dieksploitasi ransomware REvil.

“Kaseya telah menerapkan patch (tambalan) untuk sebagian besar kerentanan pada layanan VSA SaaS (cloud), tapi belum menyelesaikan patc untuk versi lokal VSA (on-premise),” tulis BleepingComputer, diakses Senin (12 Juli 2021).

Hampir 10 hari setelah serangan, Kaseya merilis pembaruan VSA versi 9.5.7a (9.5.7.2994) untuk memperbaiki kerentanan yang digunakan dalam serangan ransomware REvil.

Rilis patch tersebut, Kaseya memperbaiki kerentanan, antara lain:

  1. Kebocoran dan kredensial dan business logic flaw (CVE-2021-30116).
  2. Kerentanan Cross Site Scripting/XSS (CVE-2021-30119).
  3. Bypass 2FA (CVE-2021-30120).
  4. Memperbaiki masalah ketika tanda aman (secure flag) tidak digunakan untuk cookie sesi portal pengguna (user portal).
  5. Memperbaiki masalah ketika respons API tertentu akan berisi hash kata sandi, yang berpotensi mengekspos kata sandi yang lemah ke serangan brute force. Nilai kata sandi kini tertutup sepenuhnya.
  6. Memperbaiki kerentanan yang memungkinkan pengunggahan file tanpa izin ke server VSA.

Kaseya VSA ialah aplikasi manajemen dan pemantauan jarak jauh TI yang biasa digunakan oleh penyedia layanan terkelola untuk mendukung pelanggannya.

Pendek kata, Kaseya VSA ialah perangkat yang membantu tim divisi TI sebuah organisasi alam mengelola sistem jaringan mereka. Dengan tools ini, tim divisi TI yang hanya berisi dua orang, misalnya, bisa terbantu untuk memantau sistem jaringan mereka, termasuk komputer server dan klien. Aplikasi Kaseya VSA ada yang berbasis cloud, ada pula yang bersifat on-premise yang diinstal di server lokal pengguna.

Pada April lalu, Dutch Institute for Vulnerability Disclosure (DIVD) menemukan tujuh kerentanan aplikasi Kaseya VSA, antara lain:

  1. Kebocoran kredensial dan business logic flaw, termasuk versi 9.5.7 (CVE-2021-30116).
  2. Kerentanan SQL injection ditambal pada 8 Mei (CVE-2021-30117).
  3. Kerentanan eksekusi kode jarak jauh (RCE) ditambal pada 10 April (CVE-2021-30118).
  4. Kerentanan Cross Site Scripting (XSS), termasuk versi 9.5.7 (CVE-2021-30119).
  5. Bypass 2FA diperbaiki di versi 9.5.7 (CVE-2021-30120).
  6. Kerentanan local file inclusion yang ditambal pada 8 Mei (CVE-2021-30121).
  7. Kerentanan XML external entity ditambal pada 8 Mei (CVE-2021-30201).

Pada 2 Juli lalu, geng ransomware REvil memanfaatkan sejumlah kerentanan untuk meluncurkan serangan besar-besara sekitar 60 mesin layanan terkelola yang menggunakan server lokal VSA dan 1.500 pelanggan bisnis. Pelanggan pun diminta untuk mematikan sementara server mereka sampai patch yang disediakan Kaseya tersedia.

Namun, sejauh ini belum jelas, kerentanan mana saja yang dipakai oleh REvil. Hanya, menurut BleepingComputer, kalangan peneliti keamanan siber meyakini, mereka mengeksploitasi salah satu atau kombinasi dari kerentanan ini: CVE-2021-30116, CVE-2021-30119, dan CVE-2021-30120.

Ikuti panduan sebelum instal

Kaseya menyarankan pelanggan untuk mengikuti langkah-langkah Panduan Kesiapan Startup VSA Lokal sebelum menginstal pembaruan untuk mencegah pelanggaran lebih lanjut dan memastikan perangkat belum diretas.

Di bawah ini langkah-langkah dasar yang harus dilakukan admin TI sebelum memulai kembali server VSA dan menghubungkannya ke internet:

  • Pastikan server VSA Anda terisolasi
  • Periksa sistem untuk indikator peretasan (IOC)
  • Patch sistem operasi server VSA
  • Menggunakan URL Rewrite untuk mengontrol akses ke VSA melalui Internet Information Server (IIS).
  • Instal FireEye Agent
  • Hapus skrip/pekerjaan yang tertunda

Dari langkah-langkah itu, sangat penting bahwa server lokal VSA tidak dapat diakses publik dari internet untuk mencegah peretasan saat menginstal tambalan.

Kaseya juga mendesak pelanggan untuk menggunakan "Compromise Detection Tool” yang telah disediakan, berupa kumpulan skrip PowerShell untuk mendeteksi apakah server VSA atau titik akhir telah disusupi peretas.

Script akan memeriksa server VSA untuk keberadaan “Kaseya\webpages\managedfiles\vsaticketfiles\agent.crt” dan “Kaseya\webpages\managedfiles\vsaticketfiles\agent.exe,” dan “agent.crt”, serta “agent.exe” pada titik akhir.

REvil menggunakan file “agent.crt” dan “agent.exe” untuk menyebarkan ransomware yang dapat dieksekusi di mesin korban.

Untuk keamanan tambahan, Kaseya juga menyarankan admin VSA lokal untuk membatasi akses ke GUI web ke alamat IP lokal.

"Untuk instalasi VSA On-Premise, kami merekomendasikan untuk membatasi akses ke VSA Web GUI ke alamat IP lokal dengan memblokir port 443 inbound pada firewall internet Anda. Beberapa integrasi mungkin memerlukan akses inbound ke server VSA Anda pada port 443. Ini daftar alamat IP yang dapat Anda masukkan sebagai ‘daftar putih’ di firewall Anda (izinkan 443 masuk ke FROM ), jika Anda menggunakan integrasi ini dengan produk VSA On-Premise Anda," jelas Kasya di situs web help desk-nya.

Setelah menginstal tambalan, semua pengguna akan diminta untuk mengubah kata sandi mereka menjadi yang menggunakan persyaratan kata sandi baru.[]

Tags