Kaseya trifft sich am Montag, um über das Schicksal des SaaS VSA-Tools zu entscheiden

  • Mitarbeiter arbeiten in einem Rechenzentrum und einer Serverfarm in der Schweiz. Die SaaS-Version von Kaseya VSA wurde am Freitag als Vorsichtsmaßnahme offline genommen, nachdem ein REvil-Ransomware-Ableger damit begonnen hatte, Managed-Service-Provider zu hacken, die VSA vor Ort installiert hatten.(Dean Mouhtaropoulos/Getty Images)

    Kaseya kündigte am Sonntagabend in seinem Blog an, dass sich das Führungsteam am Montag treffen würde, um zu besprechen, wie das Software-as-a-Service VSA Remote-Monitoring- und Management-Tool wieder online gebracht werden kann. Das Unternehmen sagte auch, dass es am Montag einen Zeitplan für die Veröffentlichung eines gepatchten VSA-Produkts vor Ort bekannt geben würde.

    Die SaaS-Version von VSA wurde am Freitag als Vorsichtsmaßnahme vom Netz genommen, nachdem ein REvil-Ransomware-Ableger damit begonnen hatte, Managed-Service-Provider zu hacken, die VSA vor Ort installiert hatten. Kaseya warnte Kunden, die VSA vor Ort einsetzen, am Freitag, VSA-Server abzuschalten.

    Klicken Sie hier, um alle aktuellen Nachrichten über den Cyberangriff auf Kaseya zu erhalten.

    Der Vorstand wird sich zwischen 4 Uhr und 8 Uhr ET treffen, um die Wiederherstellung der europäischen und asiatisch-pazifischen Server zu besprechen. Die Server in den USA werden zwischen 17.00 und 20.00 Uhr besprochen.

    Kaseya sagte, dass es die SaaS-Server nach und nach wieder öffnen wird, und warnte die Benutzer, dass sie mit einer Änderung der IP-Adressen als Teil eines Sicherheitsupgrades rechnen müssen.

    Am Sonntag rieten das FBI, die CISA und der Nationale Sicherheitsrat des Weißen Hauses den VSA-Benutzern, den Entschärfungsempfehlungen von Kaseya zu folgen.

    “Wenn Sie das Gefühl haben, dass Ihre Systeme durch den Kaseya-Ransomware-Vorfall kompromittiert wurden, empfehlen wir Ihnen, alle empfohlenen Abhilfemaßnahmen zu ergreifen, die Anweisungen von Kaseya und der Cybersecurity and Infrastructure Security Agency (CISA) zu befolgen, um Ihre VSA-Server sofort herunterzufahren, und die Kompromittierung dem FBI unter ic3.gov zu melden”, sagte das FBI in einer Erklärung.

    Huntress Labs, die Organisation, deren Reddit-Thread, der die Reaktion auf den Vorfall live bloggt, weitgehend dafür verantwortlich war, den Alarm über die Ransomware auszulösen, gab mehr Klarheit über den Weg des Angriffs. Die Hacker, die Teile ihrer Operation über AWS-Server leiteten, nutzten einen Logikfehler zur Umgehung der Authentifizierung in der Datei “dl.asp” aus. Durch diese Umgehung konnten sie auf die Datei “KUpload.dll” zugreifen und die bösartigen Dateien “agent.crt” und “Screenshot.jpeg” hochladen.

    Schließlich griffen die Angreifer auf die Datei “userFilterTableRpt.asp” zu, die laut Huntress “eine beträchtliche Anzahl potenzieller SQL-Injection-Schwachstellen enthielt, die einen Angriffsvektor für die Codeausführung und die Möglichkeit zur Kompromittierung des VSA-Servers bieten würden.”

    Die Firma DIVD behauptete in einem Blogeintrag, dass “Wietse Boonstra, ein DIVD-Forscher, zuvor eine Reihe der Zero-Day-Schwachstellen identifiziert hat [CVE-2021-30116] identifiziert, die derzeit in den Ransomware-Angriffen verwendet werden. Und ja, wir haben diese Schwachstellen im Rahmen der Richtlinien zur verantwortungsvollen Offenlegung (aka koordinierte Offenlegung von Schwachstellen) an Kaseya gemeldet.”

    Kaseya wollte die Behauptungen des DIVD nicht bestätigen und verwies auf die aktive FBI-Untersuchung, sagte aber, dass das DIVD “ein wertvoller Partner” sei und dass “mehr Unternehmen eine Zusammenarbeit mit ihnen in Betracht ziehen sollten.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com