原始发布日期:2021 年 7 月 4 日
CISA 和联邦调查局 (FBI) 继续应对最近利用 Kaseya VSA 软件中的漏洞针对多个托管服务提供商 (MSP) 及其客户的供应链勒索软件攻击。 CISA 和 FBI 强烈敦促受影响的 MSP 及其客户遵循以下指南。
CISA 和 FBI 推荐受影响的 MSP:
- 通过 support@kaseya.com 联系 Kaseya,主题为“妥协检测工具请求”,以获取和运行 Kaseya VSA 客户可用的 Kaseya 妥协检测工具。该工具旨在帮助 MSP 评估其系统及其客户系统的状态。
- 在组织控制下的每个帐户上启用和实施多重身份验证 (MFA),并尽可能为面向客户的服务启用和实施 MFA。
- 实施许可名单以将与远程监控和管理 (RMM) 功能的通信限制为已知 IP 地址对,和/或
- 将 RMM 的管理接口置于虚拟专用网络 (VPN) 或专用管理网络上的防火墙之后。
CISA 和 FBI 建议受此攻击影响的 MSP 客户立即采取行动实施以下网络安全最佳实践。 笔记: 这些操作对于由于 Kaseya 攻击而当前没有运行 RMM 服务的 MSP 客户尤其重要。
CISA 和 FBI 建议受影响的 MSP 客户:
- 确保备份是最新的并存储在与组织网络隔离的易于检索的位置;
- 恢复到遵循供应商补救指南的手动补丁管理流程,包括在新补丁可用时立即安装;
- 实施:
- 多因素身份验证;和
- 关键网络资源管理员帐户的最小权限原则。
资源:
CISA 和 FBI 为读者提供了这些资源。 CISA 和 FBI 不为任何非政府实体背书,也不保证链接资源的准确性。
- 有关 Kaseya 的最新指导,请参阅 Kaseya 2021 年 7 月 3 日的重要通知。
- 有关妥协指标,请参阅 Peter Lowe 的 GitHub 页面 REvil Kaseya CnC Domains。 笔记: 由于急需共享此信息,CISA 和 FBI 尚未验证此内容。
- 有关网络安全社区针对此事件的具体指导,请参阅 Cado Security 的 GitHub 页面,DFIR 专业人员应对 REvil 勒索软件 Kaseya 供应链攻击的资源。 笔记: 由于急需共享此信息,CISA 和 FBI 尚未验证此内容。
- 有关网络安全社区关于抵御 MSP 勒索软件攻击的建议,请参阅 Gavin Stone 的文章,您的 RMM 的安全性如何,以及如何更好地保护它?。
- 对于一般事件响应指南,CISA 鼓励用户和管理员查看联合网络安全咨询 AA20-245A:发现和修复恶意活动的技术方法。
本产品受本通知和本隐私和使用政策的约束。