原始發布日期:2021 年 7 月 4 日
CISA 和聯邦調查局 (FBI) 繼續應對最近利用 Kaseya VSA 軟件中的漏洞針對多個託管服務提供商 (MSP) 及其客戶的供應鏈勒索軟件攻擊。 CISA 和 FBI 強烈敦促受影響的 MSP 及其客戶遵循以下指南。
CISA 和 FBI 推薦受影響的 MSP:
- 通過 support@kaseya.com 聯繫 Kaseya,主題為“妥協檢測工具請求”,以獲取和運行 Kaseya VSA 客戶可用的 Kaseya 妥協檢測工具。該工具旨在幫助 MSP 評估其係統及其客戶系統的狀態。
- 在組織控制下的每個帳戶上啟用和實施多重身份驗證 (MFA),並儘可能為面向客戶的服務啟用和實施 MFA。
- 實施許可名單以將與遠程監控和管理 (RMM) 功能的通信限制為已知 IP 地址對,和/或
- 將 RMM 的管理接口置於虛擬專用網絡 (VPN) 或專用管理網絡上的防火牆之後。
CISA 和 FBI 建議受此攻擊影響的 MSP 客戶立即採取行動實施以下網絡安全最佳實踐。 筆記: 這些操作對於由於 Kaseya 攻擊而當前沒有運行 RMM 服務的 MSP 客戶尤其重要。
CISA 和 FBI 建議受影響的 MSP 客戶:
- 確保備份是最新的並存儲在與組織網絡隔離的易於檢索的位置;
- 恢復到遵循供應商補救指南的手動補丁管理流程,包括在新補丁可用時立即安裝;
- 實施:
- 多因素身份驗證;和
- 關鍵網絡資源管理員帳戶的最小權限原則。
資源:
CISA 和 FBI 為讀者提供了這些資源。 CISA 和 FBI 不為任何非政府實體背書,也不保證鏈接資源的準確性。
- 有關 Kaseya 的最新指導,請參閱 Kaseya 2021 年 7 月 3 日的重要通知。
- 有關妥協指標,請參閱 Peter Lowe 的 GitHub 頁面 REvil Kaseya CnC Domains。 筆記: 由於急需共享此信息,CISA 和 FBI 尚未驗證此內容。
- 有關網絡安全社區針對此事件的具體指導,請參閱 Cado Security 的 GitHub 頁面,DFIR 專業人員應對 REvil 勒索軟件 Kaseya 供應鏈攻擊的資源。 筆記: 由於急需共享此信息,CISA 和 FBI 尚未驗證此內容。
- 有關網絡安全社區關於抵禦 MSP 勒索軟件攻擊的建議,請參閱 Gavin Stone 的文章,您的 RMM 的安全性如何,以及如何更好地保護它?。
- 對於一般事件響應指南,CISA 鼓勵用戶和管理員查看聯合網絡安全諮詢 AA20-245A:發現和修復惡意活動的技術方法。
本產品受本通知和本隱私和使用政策的約束。