美国托管软件开发商Kaseya更新了受到黑客事件影响的客户数量,指出虽然只有不到60家Kaseya VSA客户直接遭到波及,但由于有许多客户也是其它企业的IT服务供应商,而使得灾害波及它们的下游厂商,估计受害厂商不到1,500家。
综合多家安全企业的说法,REvil勒索软件黑客攻陷了Kaseya VSA的零时差漏洞CVE-2021-30116,通过Kaseya VSA以假冒的软件安全更新程序来传送勒索软件,由于Kaseya拥有许多托管服务供应商(MSPs)客户,因此就算这些MSP客户的客户并未使用Kaseya产品,它们的系统也同样会被勒索软件加密。
其实Kaseya在黑客攻击之前便已着手修补CVE-2021-30116漏洞,只是被黑客捷足先登。
虽然黑客仅攻陷了本地部署的Kaseya VSA,并未危及由Kaseya提供的Kaseya VSA SaaS服务,但Kaseya一方面要求客户关闭本地部署的Kaseya VSA,另一方面也暂时撤下Kaseya VSA SaaS服务以强化其安全性。
根据Kaseya目前的规划,该公司将在Kaseya VSA SaaS架构上添加一层安全防护,也将变更Kaseya VSA SaaS服务器所使用的IP地址,呼吁把该IP地址设为白名单的客户要记得变更。此外,针对Kaseya VSA本地部署版的安全更新,将在Kaseya VSA SaaS服务重新上线之后的24小时内传送。
自从Kaseya在7月2日遭到黑客入侵以来,提供远程监控与管理的Kaseya VSA与Kaseya VSA SaaS服务便中断至今,原本计划要在7月6日重新推出Kaseya VSA SaaS,也因遭遇部署问题而延后上线。