DIVD公布向Kaseya揭露安全漏洞的时间表，Cobalt Strike也被用在Kaseya攻击中

在荷兰漏洞揭露协会（Dutch Institute for Vulnerability Disclosure，DIVD）透露该组织所发现的Kaseya漏洞遭到骇客利用之后，DIVD即被批评未能透明化漏洞资讯，使得DIVD决定公布向Kaseya提报漏洞的时间表，但依旧保留漏洞细节。

DIVD谨守负责任的漏洞披露（Responsible disclosure）政策，在发现漏洞时，决定先将漏洞资讯提交给Kaseya而不对外公开，此举也让DIVD意外陷入Kaseya VSA被骇事件的风暴中，被质疑藏匿了漏洞资讯，不过，DIVD认为这个决策是正确的，因为若骇客取得了漏洞资讯，将是场更大的灾难。DIVD本周选择了公布相关漏洞的编号与摘要，但不包含漏洞细节。

DIVD是在今年4月初发现Kaseya产品的7个安全漏洞，包括CVE-2021-30116、CVE-2021-30117、CVE-2021-30118、CVE-2021-30119、CVE-2021-30120、CVE-2021-30121与CVE-2021-30201，接到DIVD通知的Kaseya已经修补了当中的资料隐码漏洞CVE-2021-30117、远端程式攻击漏洞CVE-2021-30118、本地文件包含漏洞CVE-2021-30121，以及XML外部实体注入漏洞CVE-2021-30201。

迄今还未修补的3个漏洞则是凭证外泄漏洞CVE-2021-30116 、跨站指令码漏洞CVE-2021-30119 ，以及双因素认证绕过漏洞CVE-2021-30120。

而DIVD则说，此次骇客攻陷Kaseya VSA所开采的两个漏洞中，其中一个就是由该组织所提交的CVE-2021-30116 。虽然Kaseya修补漏洞的时程已超过公认的90天期限，然而，DIVD认为Kaseya一直以来都非常积极地修补漏洞，而且补好漏洞才能保障全球网络及使用者的最大利益，并不会因为期限到了就公布漏洞细节。

另一方面，就在资安业者警告，合法的渗透测试工具Cobalt Strike持续遭到骇客滥用之际，Malwarebytes也在Kaseya VSA被骇事件当中，发现了滥用Cobalt Strike工具的踪迹。根据他们的观察，出现其他散发恶意垃圾邮件的活动，以安装漏洞修补程式为诱饵，趁机散播Cobalt Strike。而在这些恶意邮件里面，夹带了一个名为SecurityUpdates.exe的档案，邮件内文也以微软修补Kaseya漏洞作为幌子，置入看似正常，实际却是下载档案的网址超链接，诱使收信者上当。

图片来源_Malwarebytes

其实根据Cisco Talos Incident Response团队在去年第二季的统计，该季的勒索软件攻击中，就有66%以Cobalt Strike来取代木马程式。

至于不管是就地部署的Kaseya VSA或Kaseya VSA SaaS服务迄今都尚未重新上线，不过Kaseya已着手展开重新上线的准备，并提供指南予受到波及的客户。