Jetzt patchen! Sicherheitspatch schließt REvil-Lücke in Kaseya VSA
Admins sollten die IT-Management-Software VSA von Kaseya zügig aktualisieren. Angreifer nutzen derzeit mehrere Sicherheitslücken aus.
(Bild: VideoFlow/Shutterstock.com)
Mehr als eine Woche nach Bekanntwerden von Attacken auf Kaseya-Kunden, die die VSA-Plattform zum Verwalten von Software nutzen, ist nun ein Sicherheitspatch erschienen. Admins sollten sofort handeln und die abgesicherte Version installieren.
Geschieht dies nicht, setzen Angreifer an drei Schwachstellen (CVE-2021-30116, CVE-2021-30119, CVE-2021-30120) an und installieren den Erpressungstrojaner REvil auf Systemen. Der Schädling verschlüsselt Dateien und fordert Lösegeld.
Setzen Angreifer erfolgreich an der als "kritisch" eingestuften Lücke mit der Kennung CVE-2021-30116 an, könnten sie auf nicht näher beschriebenem Weg unberechtigt auf Systeme zugreifen. Der Bedrohungsgrad der beiden anderen Schwachstellen ist noch nicht eingestuft. Erfolgreiche Attacken können aber dazu führen, dass Angreifer eine Zwei-Faktor-Authentifizierung umgehen. Sicherheitsforscher gehen davon aus, dass die Angreifer die Lücken miteinander kombinieren.
Erst lesen, dann patchen!
Nun ist die mehrfach verschobene Ausgabe VSA 9.5.7a (9.5.7.2994) als Download verfügbar. Damit schließt Kaseya eigenen Angaben zufolge die Einfallstore für REvil. Bevor Admins das Update installieren, sollten sie dringend noch einige Sicherheitstipps befolgen, die Kaseya in einem Beitrag zusammengetragen hat.
Darin weisen sie unter anderem darauf hin, dass verwundbare VSA-Server von anderen Systemen isoliert sein müssen, bevor sie wieder online gehen. Andernfalls könnte direkt eine Infektion stattfinden, die sich im Netzwerk ausbreitet. Außerdem sollten Admins mit Tools prüfen, ob Server bereits kompromittiert sind. Sehr wichtig ist auch, dass VSA-Server nicht direkt aus dem Internet erreichbar sind.
In einer aktualisierten Warnmeldung versichert Kaseya, dass mittlerweile 95 Prozent der Cloud-VSA-Server (SaaS) abgesichert und wieder online sind. Kunden mit eigenen Installationen (On Premise) müssen den Patch selber installieren.
Ausmaß der Attacken
Bei diesem Fall handelt es sich um einen Lieferketten-Angriff. Betroffen ist die IT-Management-Software VSA von Kaseya. Damit können Admins in Unternehmen unter anderem Anwendungen aus der Ferne aktualisieren. Weltweit nutzen tausende Kunden VSA.
Aufgrund von Sicherheitslücken in dieser Software attackieren die REvil-Hintermänner die Kaseya-Kunden. Kaseya gibt an, das rund 60 Kunden direkt betroffen sind. Aufgrund des Domino-Effekts von so einem Lieferketten-Angriff gehen sie von rund 1500 betroffenen Unternehmen aus.
- Kaseya VSA: Wie die Lieferketten-Angriffe abliefen und was sie für uns bedeuten
- Kaseya-Angriff: Cybercrime-Erpresser fordern 70 Millionen US-Dollar
- Hacker-Angriff über IT-Dienstleister Kaseya trifft Hunderte Unternehmen
- Hunderte Coop-Supermärkte in Schweden nach REvil-Ransomwarebefall geschlossen
- IT-Dienstleister für Angriff auf Dutzende Unternehmen missbraucht
(des)