▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Supply chain attack di Kaseya: c'è la patch

È pronta e funzionante la patch che chiude le vulnerabilità sfruttate nell'attacco ransomware alla supply chain di Kaseya. Ecco le istruzioni per l'installazione.

Business Vulnerabilità
Quasi dieci giorni dopo l'attacco informatico alla supply chain di Kaseya, il produttore ha pubblicato gli aggiornamenti di sicurezza per le vulnerabilità zero-day di VSA fruttate dal gruppo ransomware REvil per attaccare gli MSP e i relativi clienti. La patch era attesa con ansia perché ricordiamo che all'indomani dell'attacco Kaseya aveva esortato i clienti di VSA a spegnere i propri server VSA on-premise fino a quando non fosse stata pronta la correzione.

Dopo diversi ritardi dovuti a problemi tecnici, finalmente ieri sera è iniziata la distribuzione dell'aggiornamento VSA 9.5.7a (9.5.7.2994). L'upgrade risolve la vulnerabilità monitorata come CVE-2021-30116 relativa al leak di credenziali, la vulnerabilità cross site scripting CVE-2021-30119, quella di bypass della 2FA CVE-2021-30120.

Inoltre, è stato risolto un problema del non utilizzo dei secure flag per i cookie di User Portal. E quello per cui alcune risposte API contenevano un hash della password, esponendo potenzialmente eventuali password deboli ad attacchi brute force. Non ultimo, è stata corretta una vulnerabilità che poteva consentire il caricamento non autorizzato di file nel server VSA.
supply chainSono tutte ottime notizie, ma Kaseya esorta a smorzare gli entusiasmi e a procedere per gradi. Prima di installare la patch il produttore consiglia di seguire tutti i passaggi contenuti nella "On Premises VSA Startup Readiness Guide" che era già online da diversi giorni, e che molti clienti potrebbero già avere fatto.

In sostanza, il passaggio intermedio serve per sincerarsi che i dispositivi non siano compromessi prima di installare l'aggiornamento, rischiando di peggiorare la situazione. Nell'ordine, bisogna verificare che i server VSA siano isolati, ossia che non siano accessibili pubblicamente da Internet, per evitare che vengano compromessi durante l'installazione della patch.

Secondo passaggio è il controllo degli indicatori di compromissione (IoC). Kaseya prega di utilizzare lo strumento che ha messo a disposizione anziché soluzioni terze, così da individuare con precisione la presenza di Kaseyawebpagesmanagedfilesvsaticketfilesagent.crt, Kaseyawebpagesmanagedfilesvsaticketfilesagent.exe, e quella di agent.crt e agent.exe usati da REvil per distribuire sugli endpoint l'eseguibile del ransomware.

Solo a questo punto è possibile servirsi dell'URL Rewrite per controllare l'accesso a VSA tramite IIS, installare FireEye Agent e rimuovere script/processi in sospeso.

Per una maggiore sicurezza, Kaseya chiede inoltre che l'amministratore VSA limiti l'accesso alla GUI Web, agli indirizzi IP locali e a quelli notoriamente utilizzati dai prodotti di sicurezza, bloccando la porta 443 in ingresso sul firewall. Per evitare problemi, fornisce anche un elenco di indirizzi IP da inserire in whitelist per non bloccare le attività.

Inutile ricordare che dopo aver installato la patch, tutti gli utenti dovranno cambiare la propria password.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Previsioni per la cybersecurity del 2025

Speciale

Digitalizzazione e cybersecurity

Reportage

Cybertech Europe 2024

Speciale

Identity security

Speciale

Infosecurity Europe 2024

Calendario Tutto

Gen 21
Palo Alto Networks Partner Xchange Milano
Gen 23
Nutanix Cloud Day Roadshow - Bari
Giu 05
MSP Day 2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter