Kaseya heeft een patch gepubliceerd voor de kwetsbaarheden in de VSA-software. Patch 9.5.7a. verhelpt meerdere kwetsbaarheden die onder andere gebruikt zijn bij de inzet van ransomware-aanvallen in de afgelopen periode. Goed om rekening mee te houden is dat in deze beveiligingsupdate sommige API-endpoints tijdelijk zijn uitgeschakeld. Dit heeft Kaseya uit voorzorg gedaan terwijl ze werken aan het verbeteren van de beveiliging ervan
Naast het installeren van deze patches is het van groot belang om maatregelen toe te passen om verdere veiligheidsrisico’s te mitigeren. Kaseya heeft hiervoor twee richtlijnen (klik hier voor richtlijn 1 en hier voor richtlijn 2) uitgebracht voor het beveiligen van de Kaseya VSA-installaties die u in huis heeft staan. Het NCSC raadt aan om de richtlijnen van Kaseya te volgen en deze neer te leggen bij de beheerder van uw VSA-installaties.
Daarnaast wordt u gewezen op het belang van het treffen van basismaatregelen, zowel op de Kaseya server alsook op andere systemen binnen uw organisatie.
NB: Er zijn phishing mails in omloop die claimen van Kaseya te komen. Klik niet op links, download geen attachments en ga niet in op bellers die claimen een Kaseya partner te zijn. Zie de website van Kaseya voor updates.
RIchtlijnen Kaseya
Het NCSC adviseert beheerders van Kaseya VSA-servers om de richtlijnen van Kaseya op te volgen, met extra aandacht voor de volgende aspecten *voordat de Kaseya VSA-server weer online wordt gebracht*:
1. Maak een risicoafweging of de server opnieuw ingericht of forensisch onderzocht moet worden of dat alleen het installeren van de patch voor uw risicoprofiel voldoende is. Als er forensisch onderzoek moet gebeuren begin dan met het veiligstellen van data.
2. Controleer of er nog IIS-logboeken zijn of dat een aanvaller deze heeft verwijderd. Controleer de logboeken op afwijkende browser-types, verzoeken van ip`s die afwijken van bekende systeembeheerders, verzoeken op ongebruikelijke tijden en onverklaarbare verzoeken naar /userFilterTableRpt.asp /cgi-bin/KUpload.dll /done.asp of /dl.asp. Voor omgevingen met een hoog risico profiel kan het overwogen worden ook in backups van de server te zoeken in de logboeken. Ook kan de veiliggestelde data gecontroleerd worden op malware vanaf een ongecompromitteerd systeem.
3. Configureer de server om alleen toegang te geven aan systemen van beheerders. Dit kan via de URL rewrite methode omschreven door Kaseya, maar het kan bijvoorbeeld ook via een al aanwezige firewall of door een VPN oplossing met 2-factor authenticatie te gebruiken.
4. Installeer de meest recente beveilgingsupdates van Microsoft, de detectieoplossingen die Kaseya aanbiedt en installeer de beveiligingsupdate volgens de instructies van Kaseya (klik hier voor instructie 1 en hier voor instructie 2).
5. Controleer met de VSA SQL database assessment tool of de configuratie in de database is zoals u dat verwacht.
