Gut eine Woche nach dem Bekanntwerden von Angriffen auf Kaseya-Kunden, die die VSA-Plattform von Kaseya zum Verwalten von Software nutzen, ist soeben ein Sicherheitspatch für die Software herausgekommen. Die Admins sollten umgehend aktiv werden und jetzt die abgesicherte Version installieren.
Wie die Angriffe ablaufen
Wenn das nicht gemacht wird, setzen die Angreifer an den bekannten drei Schwachstellen (CVE-2021-30116, CVE-2021-30119, CVE-2021-30120) an und installieren den Erpressungstrojaner REvil auf den Systemen. Dieser Schädling ist eine Ransomware (Erpressungssoftware). Er verschlüsselt Dateien und fordert dann Lösegeld für die Entschlüsselung.
Wenn Angreifer mit Erfolg an der als “kritisch” eingestuften Lücke mit der Kennung CVE-2021-30116 ansetzen, könnten sie auf nicht näher beschriebenem Weg unberechtigt auf die Systeme zugreifen. Der Bedrohung durch die beiden anderen Schwachstellen wurde noch nicht eingestuft.
Allerdings können erfolgreiche Attacken dazu führen, dass die Angreifer damit eine Zwei-Faktor-Authentifizierung umgehen. Sicherheitsforscher vermuten, dass die Angreifer die drei Lücken miteinander kombinieren.
Der Patch VSA 9.5.7a (9.5.7.2994)
Nun ist die mehrfach verschobene Ausgabe VSA 9.5.7a (9.5.7.2994) als Download verfügbar. Damit schließt Kaseya eigenen Angaben zufolge die Einfallstore für REvil. Bevor Admins das Update installieren, sollten sie dringend noch einige Sicherheitstipps befolgen, die Kaseya in einem Beitrag zusammengetragen hat.
Vor dem Patchen Informationen lesen
In dem Beitrag weisen sie darauf hin, dass verwundbare VSA-Server von anderen Systemen isoliert sein müssen, bevor sie wieder online gehen. Ansonsten könnte direkt eine Infektion geschehen, die sich dann in dem Netzwerk ausbreitet.
Darüber hinaus sollten die Admins mit Tools überprüfen, ob die Server schon kompromittiert sind. Auch sehr wichtig ist es, dass VSA-Server nicht direkt aus dem Internet zu erreichen sind.
Der Stand bei Kaseya selbst
In einer aktualisierten Warnmeldung bestätigt Kaseya, dass inzwischen 95 Prozent der Cloud-VSA-Server (SaaS) abgesichert und auch wieder online sind. Kunden, die eigene Installationen (On Premise) nutzen, müssen den Patch selbst installieren.
