Der Software-Anbieter Kaseya hat die Sicherheitslücke geschlossen, die von der REvil-Gruppe benutzt wurde, um schätzungsweise 1500 Unternehmen weltweit mit Ransomware anzugreifen. Die jetzt gepatchte Anfälligkeit steckt in der Remote-Management-Lösung VSA, die auch von Managed Service Providern eingesetzt wird.
Die Schwachstelle erlaubt es, ohne vorherige Authentifizierung aus der Ferne Schadcode einzuschleusen und auszuführen. Die REvil-Cybererpresser setzten diesen Fehler für die Verbreitung ihrer Ransomware ein. Für die Entschlüsselung von unbrauchbar gemachten Dateien verlangten die Hacker eine Lösegeld von 70 Millionen Dollar.
Nach Angaben von Kaseya war vor allem die On-Premise-Version der VSA-Software betroffen. Das Unternehmen forderte seine Kunden auf, ihre VSA-Server abzuschalten. Die SaaS-Version war zwischenzeitlich aber ebenfalls nicht verfügbar. Technische Probleme hätten den für 6. Juli geplanten Neustart verzögert.
Am Sonntag teilte das Unternehmen mit, dass die Wiederherstellung der eigenen Dienste angelaufen sei. Am Montagmorgen waren demnach 95 Prozent der SaaS-Kunden wieder online. Vorübergehend wurde die Infrastruktur jedoch für eine außerplanmäßige Wartung wieder abgeschaltet, um Leistungsprobleme zu beheben.
Die Versionshinweise für die Patches nennen insgesamt drei Anfälligkeiten. Offenbar gab die VSA-Software unter Umständen Anmeldedaten preis. Außerdem erlaubte sie die Umgehung einer Zwei-Faktor-Authentifizierung sowie Cross-Site-Scripting. Darüber hinaus wurde zwei weitere Fehler beseitigt, darunter die Möglichkeit, ohne Authentifizierung Dateien auf einen VSA-Server hochzuladen.
Um die Verteilung des Patches beschleunigen zu können hat Kaseya mehrere Programmierschnittstellen abgeschaltet. Als Vorsichtsmaßnahme würden diese nun überarbeitet, um höchsten Sicherheitsanforderungen zu genügen. Die betroffenen Funktionen würden im Lauf des Jahres wiederhergestellt.
Kunden müssen nach der Installation des Patches zudem ihr Passwort bei der ersten Anmeldung ändern. Kaseya erklärte außerdem, dass einige veraltete Funktionen dauerhaft entfernt worden seien.
Bloomberg hatte in der vergangenen Woche berichtet, dass Mitarbeiter des Unternehmens schon früher Sicherheitsbedenken aufgrund von veraltetem Code, schwacher Verschlüsselung und einem fehlenden Patch-Verfahren geäußert hätten. Die ehemaligen Beschäftigten kritisierten, dass ihre Bedenken zum Teil ignoriert wurden.
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…