ITシステム管理サービスを提供するKaseyaは、ランサムウェア攻撃に悪用されたセキュリティ脆弱性に対するパッチを、かねてから予告していた通りリリースしている。
マネージドサービスプロバイダー(MSP)などを顧客に抱える同社のソフトウェアに潜んでいた脆弱性を悪用するランサムウェア攻撃が、米国時間7月2日以降に爆発的に増加した。
Kaseyaによると、この攻撃を仕掛けたREvilという脅威グループは、リモート監視ソフトウェア「VSA」に潜んでいた脆弱性を悪用し、認証処理をバイパスするとともに悪意あるコードを実行して、顧客のエンドポイントにランサムウェアを送り込もうとした。
今回の攻撃で、800~1500社の企業が影響を受けた可能性がある。REvilは復号ツールと引き換えに、7000万ドル(約78億円)を要求したとみられている。
Kaseyaはサイバー攻撃が発生したことを最初に報告した際、SaaSシステムをオフラインにし、オンプレミス版の顧客にはVSAサーバーをシャットダウンするよう促した。
SaaSサーバーの再始動は、技術的な問題などから当初の予定より遅延した。Kaseyaによると、最高経営責任者(CEO)のFred Voccola氏が判断し、既存のセキュリティ体制を強化する時間を取った。
11日には、計画に従い、サービスの復旧が進んでいるとしていた。
Kaseyaは12日午前、SaaS顧客の95%がこのシステムを利用できるようになっており、「残りの顧客については向こう数時間でサーバーが利用できるようになる」としていた。同日中にSaaS顧客の95%がシステムを利用可能になったと報告した。
オンプレミス版の顧客も現在、VSAのパッチを利用できるようになっている。Kaseyaのサポートチームは、セキュリティアップデートを適用する上で支援が必要な組織に協力している。
VSAのオンプレミス版とSaaS版のリリースノートによると、共通脆弱性識別子が割り当てられた3つの脆弱性、すなわち認証情報の漏えいとビジネスロジックの欠陥(CVE-2021-30116)、クロスサイトスクリプティング(XSS)の脆弱性(CVE-2021-30119)、二要素認証のバイパスにつながる問題(CVE-2021-30120)に対する修正を行っている。
このほか、Kaseyaは「User Portal」のセッションクッキーにおけるセキュアフラグの問題、ブルートフォース攻撃に対して強度に問題のある認証をさらす可能性があるAPI応答プロセスの問題のほか、VSAサーバーに影響を及ぼす、権限のないファイルアップロードの問題を修正している。
今回のパッチを迅速に配備するために、一部のAPIエンドポイントとともに、複数のVSA機能が一時的に無効化されている。Kaseyaは、「念のため、これらのAPIコールは最高レベルのセキュリティを実現するため再設計されている。個別の機能は2021年の今後のリリースで復旧する」と説明している。
またKaseyaは、VSAに認証処理を経ることなくエージェントのインストーラーパッケージをダウンロードできる機能を一時的に停止しているほか、User Portalページを一時的に削除している。複数のレガシーな機能は恒久的に削除されている。
ユーザーは、最新のビルドをインストールし、ログインした際には、パスワードを変更する必要がある。さらに同社は、VSAのSaaS版とオンプレミス版に対する、セキュリティ強化やベストプラクティスのためのガイドも提供している。
Bloombergは、元従業員がこれまでに、古いコードや弱い暗号化、堅牢なパッチプロセスがないことなどサイバーセキュリティの懸念について注意を促していたと報じた。元従業員によると、懸念している問題は完全に対処されていないという。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。