Ein Sicherheitspatch für die VSA-Plattform ist nun mehr als eine Woche nach Bekanntwerden von Attacken auf Kaseya-Kunden erschienen. Angreifer können an drei Sicherheitslücken (CVE-2021-30116, CVE-2021-30119, CVE-2021-30120) ansetzen und den Erpressungstrojaner REvil auf Systemen installieren. Die abgesicherte Version sollte möglichst zügig von Administratoren installiert werden.

Infolge von Angriffen auf die als "kritisch" eingestufte Lücke mit der Kennung CVE-2021-30116 könnten Angreifer unberechtigt auf Systeme zugreifen. Die beiden weiteren Lücken, welche zur Umgehung von Zwei-Faktor-Authentifizierung ausgenutzt werden können, sind noch nicht hinsichtlich ihres Bedrohungsgrad eingestuft worden.

Die Ausgabe VSA 9.5.7a (9.5.7.2994), welche laut Kaseya die Einfallstore für REvil schließt, ist nun als Download verfügbar. Vor der Update-Installation sollen Administratoren jedoch einige Sicherheitstipps berücksichtigen, die in einem Beitrag von Kaseya nachzulesen sind. Verwundbare VSA-Server sollen so etwa von anderen Systemen isoliert sein, bevor sie wieder online gehen, um eine direkte Infektion zu vermeiden. Zudem sollte mithilfe bestimmter Tools überprüft werden, on Server bereits infiziert sind. VSA-Server sollen außerdem nicht direkt aus dem Internet erreichbar sein. Kaseya versichert schließlich, dass mittlerweile 95 Prozent der Cloud-VSA-Server (SaaS) abgesichert sind.

Bei den Attacken auf die IT-Management-Software VSA handelt es sich um einen sogenannten Lieferketten-Angriff. Die Software wird verwendet, um in Unternehmen unter anderem Anwendungen aus der Ferne zu aktualisieren.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE