# CVE-2021-30116 - Kaseya VSA: Bypass de Autenticação no Ataque REvil de Julho 2021 > [!critical] CVE-2021-30116 foi usada pelo grupo REvil no maior ataque de ransomware via supply chain da história, comprometendo o Kaseya VSA para distribuir ransomware automaticamente para mais de 1.500 empresas gerenciadas (MSPs) em 17 países em 4 de julho de 2021. ## Visão Geral CVE-2021-30116 é um bypass de autenticação combinado com SQL injection na interface web do **Kaseya VSA**, o software de gestão remota (RMM) usado por Managed Service Providers (MSPs). O grupo **REvil** explorou esta vulnerabilidade de forma altamente sofisticada no ataque de 4 de julho de 2021 — deliberadamente cronometrado para o feriado norte-americano. A exploração funcionou em dois estágios: primeiro, o bypass de autenticação permitia acesso à API VSA sem credenciais; em seguida, injeção SQL obtinha tokens de sessão válidos. Com acesso ao VSA, o REvil usou o sistema legítimo de distribuição de scripts do Kaseya para empurrar o ransomware **Sodinokibi** para todos os endpoints gerenciados pelos MSPs afetados — estimados em mais de 1.500 empresas globalmente. A escala do ataque e o modelo de supply chain indireta (atacar o MSP para comprometer seus clientes) representam um salto qualitativo nas táticas de ransomware. O impacto incluiu supermercados suecos (Coop), escolas neozelandesas, e infraestrutura crítica em múltiplos países. O REvil exigiu US$ 70 milhões em resgate coletivo. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Authentication bypass + SQL injection | | Produto | Kaseya VSA (RMM software) | | Vetor de ataque | Interface web VSA exposta | | Impacto | Distribuição de ransomware via agentes VSA | | Resgate exigido | USD 70 milhões (coletivo) | ## TTPs Relacionadas - [[t1190-exploit-public-facing-application|T1190]] - Exploração do VSA exposto à internet - [[t1195-002-compromise-software-supply-chain|T1195.002]] - Ataque de supply chain via MSP - [[t1486-data-encrypted-for-impact|T1486]] - Criptografia de dados (ransomware) - [[t1059-powershell|T1059.001]] - Distribuição do ransomware via PowerShell ## Contexto LATAM > [!latam] O ataque Kaseya de julho de 2021 afetou MSPs com clientes no Brasil e México, impactando pequenas e médias empresas que usavam provedores de serviços gerenciados afetados. A Polícia Federal brasileira recebeu notificações de incidentes em julho de 2021. ## Detecção e Defesa **Mitigações recomendadas:** - Atualizar Kaseya VSA para 9.5.7+ imediatamente - Desligar instâncias VSA on-premises até aplicação do patch (recomendação oficial da Kaseya) - Revisar todos os agentes VSA por execuções não autorizadas de scripts - Monitorar processos filhos do agente Kaseya em endpoints gerenciados - Revisar e revogar tokens de sessão VSA após o incidente ## Referências - [Kaseya VSA Security Advisory](https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689) - [CISA-FBI Advisory — Kaseya Attack](https://www.cisa.gov/news-events/alerts/2021/07/04/ransomware-gang-exploiting-kaseya-vsa-software) - [Huntress — Kaseya VSA Exploitation Analysis](https://www.huntress.com/blog/rapid-response-kaseya-vsa-mass-msp-ransomware-incident)