Drei Zero-Day-Bugs plagen Kaseya Unitrends Backup-Server

  • Die ungepatchten Schwachstellen umfassen RCE und authentifizierte Privilegienerweiterung auf der Client-Seite: Nur das neueste Übel für den von Ransomware bedrohten MSP.

    Es gibt drei neue, ungepatchte Zero-Day-Schwachstellen in Kaseya Unitrends, die Remotecodeausführung (RCE) und authentifizierte Privilegienerweiterung auf der Client-Seite beinhalten.

    Das niederländische Institute for Vulnerability Disclosure (DIVD) hat am Montag eine öffentliche Warnung herausgegeben, dass der Dienst und die Clients vom Internet ferngehalten werden sollten, bis es einen Patch gibt.

    Kaseya Unitrends ist eine Cloud-basierte Backup- und Disaster-Recovery-Technologie für Unternehmen, die entweder als Disaster Recovery-as-a-Service (DRaaS) oder als Add-on für die Remote-Management-Plattform Kaseya Virtual System/Server Administrator (VSA) angeboten wird. Die Schwachstellen befinden sich in Versionen vor 10.5.2.

    Stellen Sie diesen Dienst oder die Clients (die standardmäßig auf den Ports 80, 443, 1743, 1745 laufen) nicht direkt dem Internet zur Verfügung, bis Kaseya diese Sicherheitslücken gepatcht hat. -DIVD-Beratung

    Die DIVD-Experten haben die drei Schwachstellen letzte Woche aufgedeckt.

    Der DIVD-Vorsitzende Victor Gevers sagte gegenüber BleepingComputer, dass nur eine kleine Anzahl von verwundbaren Servern gefunden wurde, aber diese verwundbaren Instanzen befinden sich “in sensiblen Branchen.”

    Gevers erklärte, dass das Advisory ursprünglich als “Amber Alert” im Rahmen einer koordinierten Offenlegung an 68 staatliche CERTs weitergeleitet wurde. Einer der Empfänger teilte es dann mit dem Financial Services Service Desk einer Organisation. Von dort aus veröffentlichte ein Mitarbeiter die gelbe Warnmeldung von DIVD auf einer Online-Analyseplattform, wo sie öffentlich wurde.

    “Ein Mitarbeiter hat das TLP: AMBER labeled direkt auf eine Online-Analyseplattform hochgeladen und den Inhalt für alle Teilnehmer dieser Plattform freigegeben”, sagte Gevers dem Outlet. “Da wir kein Konto auf dieser Plattform haben, haben wir sofort beantragt, diese Datei zu entfernen.”

    DIVD entdeckte die Schwachstellen am 2. Juli und meldete sie am 3. Juli an Kaseya.

    Am 14. Juli begann das DIVD mit täglichen Scans, um anfällige Kaseya Unitrends-Server zu erkennen. Sobald das DIVD anfällige Systeme findet, wird es die Serverbesitzer entweder direkt oder über Gov-CERTs, CSIRTs und andere vertrauenswürdige Kanäle benachrichtigen.

    Threatpost hat sich mit Kaseya in Verbindung gesetzt, um herauszufinden, wann wir einen Patch erwarten können. BleepingComputer hat dasselbe getan, hatte aber bis Dienstagmorgen noch keine Antwort erhalten.

    Kaseyas bisheriger eher schlechter Monat

    Dies ist nur das jüngste Übel für Kaseya, einen Managed Service Provider (MSP), und seine Kunden: Das Unternehmen hat einen höllisch heißen Juli hinter sich, zu dem auch ein massiver Ransomware-Angriff durch die Cybergang REvil gehört.

    Wehe erzeugt Wehe Nelly: Nach dem Ransomware-Angriff verbreiteten Bedrohungsakteure ein gefälschtes Microsoft-Sicherheitsupdate, das Cobalt Strike-Backdoors enthielt.

    Als Kaseya sich beeilte, die Software-as-a-Service (SaaS)-Version seiner von Ransomware befallenen VSA wiederherzustellen, geriet die SaaS-Bereitstellung ebenso wie der Patch für die On-Premises-Version in Schwierigkeiten und wurde verzögert.

    On-Premises-Kunden waren die Hauptziele der Ransomware-Angriffe: Bis zum 7. Juli hatten diese Angriffe zur Verschlüsselung von Dateien bei rund 60 der Kaseya Kunden geführt, die die On-Premises-Version der Plattform nutzen – viele von ihnen sind selbst MSPs, die VSA nutzen, um die Netzwerke anderer Unternehmen zu verwalten.

    Kaseya hat letzte Woche endlich einen Durchbruch erzielt, als es einen universellen Entschlüsseler für die REvil-Ransomware in die Hände bekam.

    Es bleibt zu hoffen, dass der Aufwärtstrend in der Glücksgrafik anhält, um diese neuen Zero Days abzudecken.[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/07/27093135/threatpost-webinar-300x51.jpg]Machen Sie sich Sorgen, woher der nächste Angriff kommen könnte? Wir halten Ihnen den Rücken frei. Melden Sie sich JETZT für unser kommendes Live-Webinar “How to Think Like a Threat Actor” in Zusammenarbeit mit Uptycs am 17. August um 11 Uhr EST an und erfahren Sie, wo genau Angreifer es auf Sie abgesehen haben und wie Sie dort zuerst ankommen. Begleiten Sie die Moderatorin Becky Bracken und die Uptycs-Forscher Amit Malik und Ashwin Vamshi am 17. August um 11 Uhr EST bei dieser LIVE-Diskussion.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com