La société technologique américaine Kaseya a publié correctifs de sécurité pour remédier à deux vulnérabilités zero-day affectant sa solution de sauvegarde et de continuité d’entreprise Unitrends qui pourraient entraîner une élévation des privilèges et l’exécution de code à distance authentifié.
Les deux faiblesses font partie d’un trio de vulnérabilités découvert et rapporté par des chercheurs du Dutch Institute for Vulnerability Disclosure (DIVD) le 3 juillet 2021.
Le fournisseur de solutions de gestion d’infrastructure informatique a résolu les problèmes de la version 10.5.5-2 du logiciel serveur publiée le 12 août, a déclaré DIVD. Une vulnérabilité côté client non encore divulguée dans Kaseya Unitrends n’a pas encore été corrigée, mais la société a publié règles de pare-feu qui peut être appliqué pour filtrer le trafic vers et depuis le client et atténuer tout risque associé à la faille. Par précaution supplémentaire, il est conseillé de ne pas laisser les serveurs accessibles sur Internet.
Bien que les spécificités liées aux vulnérabilités soient rares, les lacunes concernent une vulnérabilité d’exécution de code à distance authentifiée ainsi qu’une faille d’élévation des privilèges de l’utilisateur en lecture seule à l’administrateur sur les serveurs Unitrends, qui dépendent toutes deux de la possibilité qu’un attaquant ait déjà obtenu un pied initial sur le réseau d’une cible, les rendant plus difficiles à exploiter.
La divulgation intervient près de deux mois après que la société a subi une grève paralysante des logiciels de rançon sur son produit VSA sur site, entraînant la fermeture mystérieuse du syndicat de cybercriminalité REvil dans les semaines qui ont suivi. Kaseya a depuis expédié des correctifs pour les zero-days qui ont été exploités pour accéder aux serveurs sur site, et à la fin du mois dernier, a déclaré avoir obtenu un décrypteur universel « pour remédier aux clients touchés par l’incident ».