Nach Ransomware-Angriff: Kaseya veröffentlicht Patch für VSA-Software
Kunden erhalten den Patch für die On-Premise-Version der VSA-Software. Die SaaS-Version ist seit gestern wieder für alle Kunden verfügbar. Den Versionshinweisen zufolge lässt sich auch die Zwei-Faktor-Authentifizierung für VSA umgehen.
Der Software-Anbieter Kaseya hat die Sicherheitslücke geschlossen, die von der REvil-Gruppe benutzt wurde, um schätzungsweise 1500 Unternehmen weltweit mit Ransomware anzugreifen. Die jetzt gepatchte Anfälligkeit steckt in der Remote-Management-Lösung VSA, die auch von Managed Service Providern eingesetzt wird.
Die Schwachstelle erlaubt es, ohne vorherige Authentifizierung aus der Ferne Schadcode einzuschleusen und auszuführen. Die REvil-Cybererpresser setzten diesen Fehler für die Verbreitung ihrer Ransomware ein. Für die Entschlüsselung von unbrauchbar gemachten Dateien verlangten die Hacker eine Lösegeld von 70 Millionen Dollar.
Nach Angaben von Kaseya war vor allem die On-Premise-Version der VSA-Software betroffen. Das Unternehmen forderte seine Kunden auf, ihre VSA-Server abzuschalten. Die SaaS-Version war zwischenzeitlich aber ebenfalls nicht verfügbar. Technische Probleme hätten den für 6. Juli geplanten Neustart verzögert.
Am Sonntag teilte das Unternehmen mit, dass die Wiederherstellung der eigenen Dienste angelaufen sei. Am Montagmorgen waren demnach 95 Prozent der SaaS-Kunden wieder online. Vorübergehend wurde die Infrastruktur jedoch für eine außerplanmäßige Wartung wieder abgeschaltet, um Leistungsprobleme zu beheben.
Die Versionshinweise für die Patches nennen insgesamt drei Anfälligkeiten. Offenbar gab die VSA-Software unter Umständen Anmeldedaten preis. Außerdem erlaubte sie die Umgehung einer Zwei-Faktor-Authentifizierung sowie Cross-Site-Scripting. Darüber hinaus wurde zwei weitere Fehler beseitigt, darunter die Möglichkeit, ohne Authentifizierung Dateien auf einen VSA-Server hochzuladen.
Um die Verteilung des Patches beschleunigen zu können hat Kaseya mehrere Programmierschnittstellen abgeschaltet. Als Vorsichtsmaßnahme würden diese nun überarbeitet, um höchsten Sicherheitsanforderungen zu genügen. Die betroffenen Funktionen würden im Lauf des Jahres wiederhergestellt.
Kunden müssen nach der Installation des Patches zudem ihr Passwort bei der ersten Anmeldung ändern. Kaseya erklärte außerdem, dass einige veraltete Funktionen dauerhaft entfernt worden seien.
Bloomberg hatte in der vergangenen Woche berichtet, dass Mitarbeiter des Unternehmens schon früher Sicherheitsbedenken aufgrund von veraltetem Code, schwacher Verschlüsselung und einem fehlenden Patch-Verfahren geäußert hätten. Die ehemaligen Beschäftigten kritisierten, dass ihre Bedenken zum Teil ignoriert wurden.