近日安全研究人員成功復制了最近針對IT管理軟件制造商Kaseya及其客戶的網絡攻擊中使用的漏洞。

由于網絡攻擊，Kaseya于6月2日敦促客戶立即關閉其VSA端點管理和網絡監控工具的本地服務器。Kaseya的SaaS部署似乎沒有受到影響，但作為預防措施，供應商已關閉該服務。

與REvil勒索軟件相關的網絡犯罪分子入侵了Kaseya的VSA產品，并通過該產品向Kaseya的很多客戶投放了勒索軟件。雖然這次攻擊只是影響了 Kaseya的數十名直接客戶，但這數十名客戶中大部分都是托管服務提供商(MSP)，因此，勒索軟件已通過這些MSP投送給數百甚至數千名客戶。

托管檢測和響應公司Huntress一直在與許多受影響的MSP合作，從這些公司收集的數據，研究人員能夠確定攻擊者涉及利用了幾個零日漏洞。

該公司的研究人員設法重現了攻擊，并在周二展示了網絡犯罪分子可能使用的漏洞利用鏈。該漏洞涉及身份驗證繞過、任意文件上傳和命令注入缺陷。

Huntress指出，該漏洞可能允許攻擊者植入后門程序，但好在攻擊者沒有在攻擊過程中這么做。

荷蘭漏洞披露研究所(DIVD)表示，Kaseya至少已經意識到攻擊者利用的一部分漏洞是什么，并且正在修補它們。

攻擊者通常都會設法對受感染系統上的文件進行加密，進而增加他們獲得報酬的機會。目前一部分受害者被告知要支付數萬美元來恢復文件，而其他財力更為雄厚的受害者則被要求支付數百萬美元。據了解，一些受害者正在與網絡犯罪分子私下談判，希望能恢復他們的文件。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文