慢了一步？REvil骇客利用Kaseya正要修补的漏洞发动攻击

美国托管软件开发商Kaseya在7月2日遭到骇客入侵，骇客透过其远端监控与管理软件Kaseya VSA的安全漏洞植入了勒索软件，波及逾50家Kaseya客户，然而，荷兰漏洞揭露协会（Dutch Institute for Vulnerability Disclosure，DIVD）本周表示，他们早就发现了相关漏洞，而且正与Kaseya合作进行修补，没想到还是让骇客捷足先登。

DIVD说明，此一由该协会研究人员Wietse Boonstra发现的漏洞为CVE-2021-30116，在提报给Kaseya之后，双方即密切合作以修补相关漏洞，Kaseya也会与DIVD分享部分的修补程式以进行验证，不论从哪方面来看，都显示出Kaseya尽了最大努力来解决安全问题，不料就在最后的修补冲刺阶段时，漏洞却遭骇客攻陷。

虽然不管是DIVD或Kaseya都未公布漏洞细节，但资安业者Huntress指出骇客开采的是Kaseya VSA的资料隐码（SQL Injection）漏洞，另一资安业者DoublePulsar则说，骇客是透过Kaseya VSA以假冒的软件安全更新程式来递送勒索软件。

DoublePulsar表示，由于Kaseya拥有许多托管服务供应商（MSPs）客户，因此就算这些MSP客户的客户并未使用Kaseya产品，它们的系统也同样会被勒索软件加密。

这也许解释了为何Kaseya宣称只有不到60家的Kaseya VSA客户受到波及，但REvil勒索软件骇客却宣称已加密数百万个系统的原因。

此外，DIVD也扫描了出现在公开网络的Kaseya VSA实例，发现其数量已从最早的逾2,000台，下滑到7月4日的不到140台，透露出大多数的Kaseya VSA用户已遵循Kaseya的建议，关闭了相关系统。