CVE-2021-30116: Kaseya VSA 供应链级 RCE 漏洞分析
CVE-2021-30116: Kaseya VSA 供应链级 RCE 漏洞分析
CVE-2021-30116 是 2021 年最具破坏力的供应链攻击之一。REvil/Sodinokibi 勒索团伙利用 Kaseya VSA(面向 MSP 的 RMM 平台)的认证绕过漏洞,通过合法的 Agent 分发功能,向约 1,500 家企业、超 100 万台终端推送勒索加密器。
这是 RMM(Remote Monitoring and Management)领域首次出现大规模供应链级攻击,揭示了远程管理平台作为"攻击杠杆"的巨大风险:突破一个管理平台,即可控制成百上千下游组织。
文章以公开权威资料为基础,偏重研究与防守视角,不提供可直接攻击公网目标的一键利用代码。
0x01 漏洞背景与影响范围
1. 漏洞基本信息
| 字段 | 详情 |
|---|---|
| CVE 编号 | CVE-2021-30116 |
| 影响产品 | Kaseya VSA(Virtual System Administrator) |
| 漏洞类型 | 认证绕过 + 业务逻辑缺陷 |
| CVSS 评分 | Critical |
| 披露日期 | 2021-07-02 |
| 攻击者 | REvil/Sodinokibi 勒索团伙 |
| 影响规模 | 约 1,500 家企业、超 100 万台终端 |
2. 受影响版本
- VSA On-Premises 9.5.7 之前所有版本
- SaaS 实例未被突破
3. Kaseya VSA 的定位
Kaseya VSA 是面向 MSP(托管服务提供商) 的 RMM 平台,MSP 使用它来远程管理客户的 IT 基础设施。这意味着:
- 一个 MSP 可能管理数十到数百家企业的终端
- VSA Agent 部署在所有被管终端上,拥有高权限
- 通过 VSA 可以向所有被管终端推送软件更新和脚本
一旦 VSA 被攻破,攻击者就获得了向所有下游客户推送任意代码的能力。
0x02 漏洞原理
1. 攻击链组成
REvil 利用了三个零日漏洞组成的攻击链:
| CVE | 类型 | 作用 |
|---|---|---|
| CVE-2021-30116 | 认证绕过 + 业务逻辑缺陷 | 绕过 Web 界面认证,获取已认证会话 |
| CVE-2021-30119 | 任意文件上传 | 上传恶意 payload 到服务器 |
| CVE-2021-30120 | 2FA 绕过 | 绕过双因素认证 |
此外 DIVD 此前已披露的四个漏洞中,CVE-2021-30118 为 RCE、CVE-2021-30117 为 SQL 注入,均在攻击前已修复。
2. 核心攻击路径
3. 关键特征
- 无需认证:初始利用不需要有效凭据
- 利用合法功能:攻击通过 VSA 的合法 Agent 分发功能完成,不触发异常告警
- 供应链级影响:突破一个 MSP,即可控制其所有客户
0x03 利用路径与攻击链
1. 初始访问:认证绕过
攻击者首先利用 CVE-2021-30116 绕过 VSA Web 界面的认证机制,获取已认证的管理会话。
2. 上传恶意 payload
利用 CVE-2021-30119 的任意文件上传漏洞,将恶意程序上传到 VSA 服务器。
3. 绕过 2FA
利用 CVE-2021-30120 绕过双因素认证,确保能够完全控制 VSA 管理功能。
4. 通过 Agent 分发推送勒索软件
攻击者利用 VSA 的合法 Agent 分发功能,向所有被管终端推送勒索加密器:
- 恶意程序命名为
agent.exe - 落盘路径:
C:\kworking\agent.exe - VSA 过程名伪装为 “Kaseya VSA Agent Hot-fix”
- 通过注册表
HKLM\SOFTWARE\WOW6432Node\Kaseya\Agent\<id>配置 TempPath
5. 后续攻击
后续攻击者还利用伪造的"Kaseya 更新"分发 Cobalt Strike 后门(SecurityUpdates.exe)。
0x04 高级利用姿势
1. 供应链攻击的杠杆效应
这次攻击的核心危险在于杠杆效应:
- 直接受影响:<60 个 MSP 客户(On-Premises)
- 下游影响:约 1,500 家企业、超 100 万台终端
- 涉及 22 个国家
攻击者只需要突破少数几个 MSP,就能影响大量下游组织。
2. 利用合法功能的隐蔽性
攻击完全通过 VSA 的合法功能完成:
- Agent 分发是 VSA 的正常功能
- 恶意程序伪装为合法的 “Kaseya VSA Agent Hot-fix”
- 不会触发 VSA 自身的安全告警
3. 后续持久化
除了勒索加密器,攻击者还部署了 Cobalt Strike 后门,用于:
- 长期控制被入侵的终端
- 窃取敏感数据
- 横向移动到内网其他系统
4. 勒索策略
REvil 索要 5,000 万美元 的通用解密密钥赎金,这是当时勒索软件历史上的最高赎金要求之一。
0x05 日志痕迹与应急排查
1. 网络层指标
| 类型 | 值 |
|---|---|
| IP | 161.35.239.148 |
| SHA256 | d55f983c994caa...、8dd620d9aeb3...、e2a24ab94f86... |
2. 主机层指标
- 进程链:VSA 子进程出现非预期的
cmd.exe/powershell.exe - 文件:
C:\kworking\agent.exe - 过程名:名为 “Kaseya VSA Agent Hot-fix” 的异常过程
- 注册表:
HKLM\SOFTWARE\WOW6432Node\Kaseya\Agent\<id>中的 TempPath 配置异常
3. 检测建议
- 监控 VSA 服务器的 Web 访问日志,检查异常认证行为
- 检查 VSA Agent 分发记录,是否有异常的脚本或程序推送
- 扫描被管终端,检查
C:\kworking\agent.exe等可疑文件 - 审查 VSA 服务器的文件上传记录
4. 已知影响
- 瑞典超市收银系统被加密
- 新西兰 11 所学校被加密
- 多个 MSP 的客户终端被大规模加密
0x06 修复建议
1. 紧急措施
- 立即升级至 VSA 9.5.7d 及以上版本
- On-Premises 实例曾被迫全面停机等待补丁
- 检查 VSA 服务器的 Web 访问日志,回溯到漏洞公开前 30 天
2. 事后排查
- 审查 VSA Agent 分发记录,检查是否有异常推送
- 扫描所有被管终端,检查可疑文件和进程
- 轮换所有与 VSA 相关的凭据和 API 密钥
- 检查是否有 Cobalt Strike 等后门
3. 长期加固
- Kaseya 后续引入 24/7 独立 SOC(FireEye 托管)
- 部署 CDN + WAF 保护 VSA 管理界面
- 限制 VSA On-Premises 实例的互联网暴露
0x07 总结
CVE-2021-30116 的核心危险在于:
- 供应链级攻击:突破一个 MSP,即可控制 100 万+ 下游终端
- 利用合法功能:攻击通过 VSA 的合法 Agent 分发完成,隐蔽性极高
- 零日漏洞组合:三个零日漏洞组成的攻击链,攻击者准备充分
- 大规模影响:1,500 家企业、100 万+ 终端被加密
- 高额赎金:REvil 索要 5,000 万美元赎金
这次事件揭示了 RMM 平台作为"攻击杠杆"的巨大风险。MSP 和下游客户都需要重新评估远程管理平台的安全风险,并采取更严格的防护措施。