Kaseya delays patch fixing zero-day attack as issues hit SaaS rollout

Posted on

एआई अपनाने की अवस्था में आपका उद्यम कहां खड़ा है? पता लगाने के लिए हमारे एआई सर्वेक्षण में भाग लें।


कासिया को अपने आईटी प्रबंधन प्लेटफॉर्म के सॉफ़्टवेयर-ए-ए-सर्विस संस्करण को पुनर्स्थापित करते समय एक समस्या का सामना करना पड़ा, और कहा कि इससे स्वयं-होस्ट किए गए संस्करण के लिए पैच के रोलआउट में देरी होगी। पिछले शुक्रवार को कंपनी ने अपने सॉफ्टवेयर के खिलाफ साइबर हमले की खोज के बाद से संकटग्रस्त आईटी सेवा प्रदाता नियमित अपडेट प्रदान कर रहा है।

“हम अभी तक इस मुद्दे को हल करने में सक्षम नहीं हैं। आरएंडडी और संचालन टीमों ने रात भर काम किया और तब तक काम करना जारी रखेंगे जब तक कि हम रिलीज को अनब्लॉक नहीं कर देते, ”कासिया ने बुधवार सुबह अपने नवीनतम अपडेट में कहा।

यह पता लगाने के बाद कि हमलावरों ने कासिया वीएसए से समझौता किया था और उपकरण द्वारा प्रबंधित किए जा रहे नेटवर्क को रैंसमवेयर वितरित कर रहे थे, कासिया ने कासिया वीएसए के सास संस्करण को नीचे लाया और ग्राहकों को आगे के हमलों को रोकने के लिए ऑन-प्रिमाइसेस सर्वर को बंद करने का निर्देश दिया। यह निर्धारित करने के बाद कि हमलावर सास मंच को लक्षित नहीं कर रहे थे, कासिया ने सास वीएसए को बहाल करने की प्रक्रिया शुरू की – और सुरक्षा के लिए “एक अतिरिक्त परत को कॉन्फ़िगर करना” भी शुरू किया – मंगलवार दोपहर को। कासिया ने कहा, “परत समग्र रूप से कासिया वीएसए की हमले की सतह को बहुत कम कर देती है।”

मूल समयरेखा के तहत, Kaseya VSA के ऑन-प्रिमाइसेस संस्करण के लिए पैच SaaS परिनियोजन को पूरा करने के 24 घंटों के भीतर उपलब्ध होता। जो ग्राहक अपने स्वयं के सर्वर पर स्थानीय रूप से कासिया वीएसए चलाते हैं, उन्हें वीएसए को फिर से शुरू करने से पहले अपनी सुरक्षा मुद्रा को कैसे बढ़ाया जाए, इस पर सिफारिशों का एक सेट प्राप्त होगा। सास रोलआउट में देरी के साथ, यह अधिक संभावना है कि हमलों को कम करने के प्रयास सप्ताहांत में जारी रहेंगे। रैंसमवेयर की चपेट में आने वाले पीड़ित उद्यमों के लिए, डेटा को पुनर्प्राप्त करने के प्रयास – या तो बैकअप के माध्यम से या फिरौती के माध्यम से – कासिया वीएसए को वापस लाने और चलाने के लिए काम से अलग और चल रहे हैं।

कासिया ने अपनी रोलिंग एडवाइजरी में कहा, “हमारी ऑन-प्रिमाइसेस पैच टाइमलाइन सास सेवाओं की बहाली से 24 घंटे (या उससे कम) है।” “हम इस समय सीमा को कम से कम संभव करने पर ध्यान केंद्रित कर रहे हैं – लेकिन अगर सास के स्पिन-अप के दौरान कोई समस्या मिलती है, तो हम अपने ऑन-प्रिमाइसेस ग्राहकों को लाने से पहले उन्हें ठीक करना चाहते हैं।”

आईटी टीमें बुनियादी ढांचे के प्रबंधन के लिए कसिया वीएसए का उपयोग करती हैं – जिसमें नेटवर्क प्रबंधन, सिस्टम अपडेट और बैकअप जैसी गतिविधियां शामिल हैं। तथ्य यह है कि रैंसमवेयर हमला एक आईटी प्रबंधन उपकरण का शोषण कर रहा है, वसूली को जटिल बनाता है, कोरेलियम के मुख्य परिचालन अधिकारी मैट टैट ने लॉफेयर पर लिखा है। मालवेयर को ठीक करने का पहला कदम वितरण तंत्र को अक्षम करना है। जब मैलवेयर संगठन के सॉफ़्टवेयर वितरण अवसंरचना का उपयोग कर रहा हो, तो इसका अर्थ है कि फ़िक्सेस को परिनियोजित करने के लिए उपयोग किए जाने वाले टूल को अक्षम करना। जब प्रबंधन उपकरण समस्या का हिस्सा होता है तो सर्वर का नियंत्रण प्राप्त करना और बैकअप से डेटा को पुनर्स्थापित करना अधिक कठिन हो जाता है।

पीड़ितों की पहचान

जबकि कंपनी ने शुरू में कहा था कि 40 से कम ग्राहक प्रभावित हुए थे, अब उस आंकड़े को संशोधित कर “60 से कम” कर दिया गया है। चूंकि Kasya VSA का उपयोग प्रबंधित सेवा प्रदाताओं द्वारा ग्राहक IT अवसंरचना की निगरानी के लिए लोकप्रिय रूप से किया जाता है, इसलिए हमला इन प्रत्यक्ष पीड़ितों से आगे निकल जाता है क्योंकि इन IT प्रदाताओं के ग्राहक भी प्रभावित होते हैं। कासिया का अनुमान है कि “1,500 से कम डाउनस्ट्रीम व्यवसाय” प्रभावित हुए हैं। ऐसी खबरें हैं कि स्वीडिश ग्रॉसरी कॉप को दो दिनों से अधिक समय तक अपने 800 स्टोर बंद करने के लिए मजबूर होना पड़ा क्योंकि इसका कैश रजिस्टर सॉफ्टवेयर आपूर्तिकर्ता हमले से प्रभावित था।

सुरक्षा कंपनी सोफोस ने कहा कि इसके साक्ष्य से पता चलता है कि 70 प्रबंधित सेवा प्रदाता और 350 डाउनस्ट्रीम ग्राहक प्रभावित हुए हैं। अधिकांश पीड़ित संयुक्त राज्य अमेरिका और कनाडा में थे – अमेरिका में 145 पीड़ित और कनाडा में 77 – लेकिन पीड़ित जर्मनी, ऑस्ट्रेलिया, यूनाइटेड किंगडम और अन्य क्षेत्रों में पाए गए, कंपनी ने कहा।

हंट्रेस लैब्स अमेरिका, ऑस्ट्रेलिया, यूरोपीय संघ और लैटिन अमेरिका में लगभग 30 एमएसपी पर नज़र रख रही है, जिससे 1,000 डाउनस्ट्रीम ग्राहक प्रभावित हुए हैं।

सोफोस सीआईएसओ और उपाध्यक्ष रॉस मैककर्चर ने वेंचरबीट को बताया, “हम उम्मीद करते हैं कि पीड़ित संगठनों का पूरा दायरा किसी भी व्यक्तिगत सुरक्षा कंपनी द्वारा बताई जा रही रिपोर्ट से अधिक होगा।” “हमले ने भूगोल या व्यावसायिक प्रकार से भेदभाव नहीं किया था जिसे हम इस समय बता सकते हैं।”

उद्यमों को कंपनी के समझौता जांच उपकरण (बॉक्स डाउनलोड के रूप में उपलब्ध) का उपयोग यह पहचानने के लिए करना चाहिए कि नेटवर्क में समझौता, डेटा एन्क्रिप्शन या आरईविल फिरौती नोट मौजूद हैं या नहीं।

साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी और फेडरल ब्यूरो ऑफ इन्वेस्टिगेशन ने प्रबंधित सेवा प्रदाताओं और उनके ग्राहकों के लिए मार्गदर्शन जारी किया जो प्रभावित हुए हैं। सुरक्षा टीमों को हर एक खाते पर बहु-कारक प्रमाणीकरण को सक्षम और लागू करना चाहिए जो संगठन के नियंत्रण में है ताकि हमलावरों के लिए खातों का नियंत्रण जब्त करना कठिन हो जाए। एक और बात यह है कि दूरस्थ निगरानी और प्रबंधन (आरएमएम) क्षमताओं के साथ संचार को ज्ञात आईपी एड्रेस जोड़े तक सीमित करना है, सीआईएसए ने इसके मार्गदर्शन में सिफारिश की है। आरएमएम के प्रशासनिक इंटरफेस को वर्चुअल प्राइवेट नेटवर्क या समर्पित प्रशासनिक नेटवर्क पर फ़ायरवॉल के पीछे भी रखा जाना चाहिए।

आपूर्ति श्रृंखला हमला

शुरुआती रिपोर्टों में सुझाव दिया गया था कि हमलावरों ने कासिया वीएसए के लिए कोड को संशोधित किया था और इसी तरह रैंसमवेयर को पीड़ितों को धकेला जा रहा था, लेकिन कासिया ने कहा कि इसके कोड को दुर्भावनापूर्ण रूप से संशोधित किए जाने का कोई सबूत नहीं मिला। बल्कि, ऐसा प्रतीत होता है कि हमलावरों ने सॉफ़्टवेयर में कई कमजोरियों का पता लगाया और उनका फायदा उठाया।

“हमलावर वीएसए उत्पाद में शून्य-दिन की कमजोरियों का फायदा उठाने में सक्षम थे, प्रमाणीकरण को बायपास करने और मनमाने ढंग से कमांड निष्पादन चलाने के लिए,” कासिया ने अपने घटना विश्लेषण में समझाया। “इसने हमलावरों को मानक वीएसए उत्पाद कार्यक्षमता का लाभ उठाने के लिए रैंसमवेयर को एंडपॉइंट पर तैनात करने की अनुमति दी। इस बात का कोई सबूत नहीं है कि कासिया के वीएसए कोडबेस को दुर्भावनापूर्ण तरीके से संशोधित किया गया है।”

कासिया के खिलाफ हमला पिछले साल के अंत में सोलर विंड्स के साथ क्या हुआ, इस अर्थ में आपूर्ति श्रृंखला के हमले की तरह कम दिखता है, और मैलवेयर अभियान की तरह अधिक है जो दुर्भावनापूर्ण कोड को निष्पादित करने के लिए सॉफ़्टवेयर में शून्य-दिन की कमजोरियों को ट्रिगर करता है। एक आपूर्ति श्रृंखला समझौता “अंधाधुंध” है, टैट ने कहा, यह देखते हुए कि अद्यतन स्थापित करने वाले सभी को मैलवेयर मिल जाएगा। इस मामले में, हमलावर को प्रत्येक पीड़ित सर्वर पर शून्य-दिन की भेद्यता को ट्रिगर करना होगा।

हालांकि, यह अभी भी एक आपूर्ति श्रृंखला हमला है क्योंकि हमलावरों ने तीसरे पक्ष के आपूर्तिकर्ताओं को लक्षित किया – इस मामले में, एमएसपी – ग्राहक संगठनों के नेटवर्क का उल्लंघन करने के लिए।

कासिया को हमले में इस्तेमाल कम से कम एक खामी (सीवीई-2021-30116) के बारे में पता था, जैसा कि डच इंस्टीट्यूट फॉर वल्नरेबिलिटी डिस्क्लोजर (डीआईवीडी) द्वारा रिपोर्ट किया गया था। हालाँकि, यह केस्या द्वारा इस मुद्दे को ठीक करने की उपेक्षा का मामला नहीं था। “[Kaseya] ने दिखाया है कि वे इस मुद्दे को ठीक करने और अपने ग्राहकों को पैच करने के लिए इस मामले में अधिकतम प्रयास और पहल करने के इच्छुक थे, “DIVD ने अपनी सलाह में कहा।

“दुर्भाग्य से, हमें अंतिम स्प्रिंट में आरईविल द्वारा हराया गया था, क्योंकि वे ग्राहकों को पैच करने से पहले कमजोरियों का फायदा उठा सकते थे।”

वेंचरबीट

तकनीकी निर्णय लेने वालों के लिए परिवर्तनकारी तकनीक और लेनदेन के बारे में ज्ञान हासिल करने के लिए वेंचरबीट का मिशन एक डिजिटल टाउन स्क्वायर बनना है।

जब आप अपने संगठनों का नेतृत्व करते हैं तो हमारा मार्गदर्शन करने के लिए हमारी साइट डेटा तकनीकों और रणनीतियों पर आवश्यक जानकारी प्रदान करती है। हम आपको हमारे समुदाय का सदस्य बनने के लिए आमंत्रित करते हैं:

  • आपकी रुचि के विषयों पर अप-टू-डेट जानकारी
  • हमारे समाचार पत्र
  • गेटेड विचार-नेता सामग्री और हमारे बेशकीमती आयोजनों के लिए रियायती पहुंच, जैसे रूपांतरण 2021: और अधिक जानें
  • नेटवर्किंग सुविधाएँ, और बहुत कुछ

सदस्य बने

Leave a Reply

Your email address will not be published. Required fields are marked *