Kaseya plant, die SaaS-Server am Dienstag wieder online zu bringen, der Patch wird einen Tag später erwartet

  • Netzwerkkabel werden in einem Serverraum in New York City eingesteckt. Ein Patch für On-Premises-Kunden des Kaseya VSA-Produkts, das seit Freitag die Ursache für einen weit verbreiteten Ransomware-Angriff war, durchläuft derzeit den Test- und Validierungsprozess. (Foto von Michael Bocchieri/Getty Images)

    Ein Patch für On-Premises-Kunden des Kaseya VSA-Produkts, das seit Freitag die Quelle einer weit verbreiteten Ransomware-Attacke war, durchläuft derzeit den Test- und Validierungsprozess, teilte das Unternehmen am Montag mit.

    Der Patch wird wahrscheinlich innerhalb von 24 Stunden zur Verfügung gestellt, nachdem die Kaseya Server, die das Software-as-a-Service-Angebot unterstützen, hochgefahren wurden, was das Unternehmen derzeit für Dienstag zwischen 14 und 17 Uhr erwartet. Die Ergebnisse von Tests und Auswertungen könnten diesen Zeitplan beeinflussen, heißt es in dem Update auf der Kaseya Website.

    Klicken Sie hier, um die neuesten Nachrichten über den Cyberangriff auf Kaseya zu erhalten.

    VSA wird stufenweise online gestellt, wobei die erste Version den Zugriff auf Funktionen verhindert, die von “einem sehr kleinen Teil” der Benutzerbasis genutzt werden, darunter: klassisches Ticketing, klassische Fernsteuerung (nicht LiveConnect) und das Benutzerportal.

    Kaseya hat sich heute Abend mit dem FBI/CISA getroffen, um die Anforderungen an die System- und Netzwerkhärtung vor der Wiederherstellung des Dienstes sowohl für SaaS- als auch für On-Premises-Kunden zu besprechen”, heißt es im Update vom Montagabend. “Eine Reihe von Anforderungen wird vor der Wiederaufnahme des Dienstes veröffentlicht, um unseren Kunden Zeit zu geben, diese Gegenmaßnahmen in Erwartung der Wiederaufnahme des Dienstes zu ergreifen”, hieß es am 6. Juli.

    Eine neue Version des Compromise Detection Tools kann unter VSA Detection Tools.zip | Powered by Box heruntergeladen werden, um festzustellen, ob Indikatoren für eine Kompromittierung eines Systems (entweder VSA-Server oder verwalteter Endpunkt) vorhanden sind. Konkret sucht das Tool nach dem IOC, der Datenverschlüsselung und der REvil-Lösegeldforderung. “Wir empfehlen, diese Prozedur erneut auszuführen, um besser feststellen zu können, ob das System durch REvil kompromittiert wurde”, heißt es in dem Update, und es wird hinzugefügt, dass seit Freitag 2.000 Kunden dieses Tool heruntergeladen haben.

    Die Ransomware-Offensive eines REvil-Teilnehmers, die auf die On-Premises-Kunden von Kaseya VSA abzielte, nutzte zwei Zero-Day-Bugs im Code aus – einen Authentifizierungs-Bypass und eine von mehreren SQL-Injections, wie Untersuchungen von Huntress Labs ergaben. Kaseya hat die SaaS-Version von VSA als Vorsichtsmaßnahme schnell heruntergefahren und die Anwender vor Ort aufgefordert, den Dienst abzuschalten.

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com