Kaseya VSA Ürünü Tedarik Zinciri Saldırısı
Kaseya VSA RMM (Remote management and monitoring) ürünü geçtiğimiz hafta sonu yaklaşık 30 MSP(Yönetilen hizmet sağlayıcı)’ye fidye yazılımı sokmak için saldırı vektörü olarak kullanıldı.
Kaseya VSA (Virtual System/Server Administrator) müşteri altyapılarını izleyip yönetebilmek amacıyla MSP(Yönetilen hizmet sağlayıcı)’ler tarafından kullanılan bir bulut ve yerinde olarak konumlandırılabilen bir araç olarak bilinmektedir. Bu araca ait en son güncelleme paketi ile (2 Temmuz 2021) REvil fidye yazılımı dağıtıldı. Potansiyel olarak binlerce MSP’nin etkilenmiş olabileceği düşünülmektedir.
Metodoloji olarak kendine özgü yöntemi ile oldukça ses getiren SolarWinds saldırısı ile aynı çalışma sistemi ile zararlıyı güvenilen bir ürünün içine gömülü halde dağıtma yolunu izlediği bilinmektedir.
Saldırıdan Amerika ve Avrupa başta olmak üzere küçük ve orta ölçekli binlerce firmanın etkilenmiş olabileceği görünmektedir.
Eğer Kaseya kullanıyorsanız ya da Kaseya kullanan bir hizmet sağlayıcıdan hizmet alıyorsanız aşağıda paylaşılan emarelere alarm yazmanız ve tespit etmeniz önerilmektedir.
| Dosya Adı | SHA256 |
|---|---|
| agent.exe (dropper) | d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e |
| mpsvc.dll | 8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd |
Çözüm olarak son nokta yazılımlarının güncel tutulması ve yayınlanan ioc’lerin takip edilerek sistemlerde aratılması önerilmektedir.
Güvenlik Zafiyet Bildirimleri
İSTANBUL
+90 216 504 53 32
Aydınevler Mahallesi,İsmet İnönü Cadddesi,Küçükyalı Ofis Park A Blok,No:20/1 Maltepe İstanbul
ANKARA
+90 312 235 44 51
ZAFİYET BÜLTENİ
Güvenlik zafiyetlerinden anlık haberdar olmak için ana sayfadaki bültenimize kayıt olabilirsiniz.
© 2021 Barikat Siber Güvenlik Tüm Hakları Saklıdır.