Der Software-Anbieter Kaseya hat die Sicherheitslücke geschlossen, die von der REvil-Gruppe benutzt wurde, um schätzungsweise 1500 Unternehmen weltweit mit Ransomware anzugreifen. Die jetzt gepatchte Anfälligkeit steckt in der Remote-Management-Lösung VSA, die auch von Managed Service Providern eingesetzt wird.
Die Schwachstelle erlaubt es, ohne vorherige Authentifizierung aus der Ferne Schadcode einzuschleusen und auszuführen. Die REvil-Cybererpresser setzten diesen Fehler für die Verbreitung ihrer Ransomware ein. Für die Entschlüsselung von unbrauchbar gemachten Dateien verlangten die Hacker eine Lösegeld von 70 Millionen Dollar.
Nach Angaben von Kaseya war vor allem die On-Premise-Version der VSA-Software betroffen. Das Unternehmen forderte seine Kunden auf, ihre VSA-Server abzuschalten. Die SaaS-Version war zwischenzeitlich aber ebenfalls nicht verfügbar. Technische Probleme hätten den für 6. Juli geplanten Neustart verzögert.
Am Sonntag teilte das Unternehmen mit, dass die Wiederherstellung der eigenen Dienste angelaufen sei. Am Montagmorgen waren demnach 95 Prozent der SaaS-Kunden wieder online. Vorübergehend wurde die Infrastruktur jedoch für eine außerplanmäßige Wartung wieder abgeschaltet, um Leistungsprobleme zu beheben.
Die Versionshinweise für die Patches nennen insgesamt drei Anfälligkeiten. Offenbar gab die VSA-Software unter Umständen Anmeldedaten preis. Außerdem erlaubte sie die Umgehung einer Zwei-Faktor-Authentifizierung sowie Cross-Site-Scripting. Darüber hinaus wurde zwei weitere Fehler beseitigt, darunter die Möglichkeit, ohne Authentifizierung Dateien auf einen VSA-Server hochzuladen.
Um die Verteilung des Patches beschleunigen zu können hat Kaseya mehrere Programmierschnittstellen abgeschaltet. Als Vorsichtsmaßnahme würden diese nun überarbeitet, um höchsten Sicherheitsanforderungen zu genügen. Die betroffenen Funktionen würden im Lauf des Jahres wiederhergestellt.
Kunden müssen nach der Installation des Patches zudem ihr Passwort bei der ersten Anmeldung ändern. Kaseya erklärte außerdem, dass einige veraltete Funktionen dauerhaft entfernt worden seien.
Bloomberg hatte in der vergangenen Woche berichtet, dass Mitarbeiter des Unternehmens schon früher Sicherheitsbedenken aufgrund von veraltetem Code, schwacher Verschlüsselung und einem fehlenden Patch-Verfahren geäußert hätten. Die ehemaligen Beschäftigten kritisierten, dass ihre Bedenken zum Teil ignoriert wurden.
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…
Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.
Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…