Kaseya bietet Pre-Patch-Anweisungen für On-Prem VSA-Kunden

  • Kaseya veröffentlicht Pre-Patch-Anweisungen, um On-Premises-Kunden auf den Zugriff vorzubereiten, sobald ein Patch nach einem weit verbreiteten Ransomware-Angriff veröffentlicht wurde. (von torkildr ist lizenziert unter CC BY-SA 2.0)

    Obwohl Kaseya am Mittwoch nicht in der Lage war, mit dem Relaunch des Software-as-a-Service-Produkts VSA Remote Management zu beginnen oder einen Patch für seine VSA-Kunden vor Ort bereitzustellen, hat das Unternehmen Pre-Patch-Anweisungen veröffentlicht, um die Kunden vor Ort auf das kommende Update vorzubereiten.

    “Wir sind dabei, die Zeitpläne für die Bereitstellung von VSA SaaS und VSA On-Premises zurückzusetzen. Wir entschuldigen uns für die Verzögerung und die Änderungen an den Plänen, während wir uns durch diese flüssige Situation arbeiten”, schrieb Kasaya im Laufe des Tages in mehreren separaten Posts.

    Kaseya war damit beschäftigt, den Service wiederherzustellen, nachdem am Freitag eine Flut von REvil-Ransomware-Installationen in seinem On-Premises-VSA-Produkt auftrat. Die SaaS-Server wurden als Vorsichtsmaßnahme heruntergefahren.

    Kaseya hatte im Laufe der Woche angedeutet, dass die SaaS-Server bereits am Dienstag, den 6. Juli, wieder online sein könnten und dass ein Patch am späten Mittwoch veröffentlicht werden könnte. Beide Zeitrahmen wurden nicht eingehalten.

    Es gab Hinweise darauf, dass SaaS am Mittwochmorgen fast wiederhergestellt war. Am frühen Morgen veröffentlichte die Cybersecurity and Infrastructure Security Agency (CISA) Ratschläge für Kunden, die zu VSA SaaS zurückkehren, geschrieben, als ob der Service wiederhergestellt worden wäre, mit Links zu Kaseya-Anleitungen, die nie veröffentlicht wurden. Die CISA entfernte den Beitrag schnell.

    Kaseya konnte jedoch eine Anleitung für On-Prem-Kunden veröffentlichen, um sich auf das Update vorzubereiten.

    Diese Anweisungen beinhalten die Isolierung des Servers und die Überprüfung auf Indikatoren für eine Kompromittierung, damit die Server sicher wieder mit dem Internet verbunden werden können. Danach müssen diese Systeme Windows und SQL Server aktualisieren. Danach müssen VSA-Clients den Zugriff auf ein Firmen-LAN oder VPN beschränken. VSA sagt dann, dass der FireEye Agent installiert werden soll, für den Kaseya eine kostenlose Lizenz bereitstellt, und dass alle ausstehenden Anweisungen, die sich seit dem Herunterfahren angesammelt haben, abgebrochen werden sollen.

    Ebenfalls am Mittwoch lieferte DIVD zusätzliche Beweise für seine Behauptung, die VSA-Fehler an Kaseya weitergegeben zu haben, und enthüllte, dass es das Unternehmen erstmals im April kontaktierte. Der Blog-Post listet sieben separate CVEs auf, von denen vier bereits gepatcht worden waren. Die drei, die noch nicht gepatcht wurden, sind ein Leck in den Anmeldeinformationen und ein Fehler in der Geschäftslogik (CVE-2021-30116), eine Cross-Site-Scripting-Schwachstelle (CVE-2021-30119) und eine Schwachstelle bei der Zwei-Faktor-Identifizierung (CVE-2021-30120). Während DIVD die Schwachstellen nur vage beschrieb und angab, keinen weiteren Schaden anrichten zu wollen, könnte eine ungepatchte Schwachstelle zumindest gedanklich einer Authentifizierungsschwachstelle ähneln, die von Forschern in der frühen Phase des Ransomware-Angriffs beschrieben wurde.

    Außerdem ist zu beachten, dass eine der bereits gepatchten Schwachstellen von DIVD ein SQL-Fehler war. Diese wurde zwar behoben, aber laut den Forschern von Huntress könnte jede der “zahlreichen potenziellen SQL-Injektionsschwachstellen, die einen Angriffsvektor für die Codeausführung und die Möglichkeit zur Kompromittierung des VSA-Servers bieten würden”, bei dem Angriff ausgenutzt worden sein.

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com