Software Update

Le fournisseur de logiciels basé en Floride, Kaseya, a déployé dimanche des mises à jour logicielles pour remédier aux vulnérabilités de sécurité critiques de son logiciel Virtual System Administrator (VSA) qui a été utilisé comme point de départ pour cibler jusqu’à 1 500 entreprises à travers le monde dans le cadre d’un approvisionnement généralisé. -attaque de ransomware en chaîne.

À la suite de l’incident, la société avait exhorté les clients VSA sur site à fermer leurs serveurs jusqu’à ce qu’un correctif soit disponible. Maintenant, près de 10 jours plus tard, l’entreprise a expédié VSA version 9.5.7a (9.5.7.2994) avec des correctifs pour trois nouvelles failles de sécurité —

  • CVE-2021-30116 – Fuite d’informations d’identification et faille de logique métier
  • CVE-2021-30119 – Vulnérabilité de script inter-sites
  • CVE-2021-30120 – Contournement d’authentification à deux facteurs

Les problèmes de sécurité font partie d’un total de sept vulnérabilités qui ont été découvertes et signalées à Kaseya par l’Institut néerlandais pour la divulgation des vulnérabilités (DIVD) plus tôt en avril, dont quatre autres faiblesses ont été corrigées dans les versions précédentes –

  • CVE-2021-30117 – Vulnérabilité d’injection SQL (Corrigé dans VSA 9.5.6)
  • CVE-2021-30118 – Vulnérabilité d’exécution de code à distance (Corrigé dans VSA 9.5.5)
  • CVE-2021-30121 – Vulnérabilité d’inclusion de fichiers locaux (Corrigé dans VSA 9.5.6)
  • CVE-2021-30201 – Vulnérabilité d’entité externe XML (Corrigée dans VSA 9.5.6)

Outre les correctifs pour les lacunes susmentionnées, la dernière version corrige également trois autres failles, notamment un bogue qui exposait des hachages de mot de passe faibles dans certaines réponses d’API aux attaques par force brute ainsi qu’une vulnérabilité distincte qui pourrait permettre le téléchargement non autorisé de fichiers sur le VSA. serveur.

Équipes De Débordement De Pile

Pour plus de sécurité, Kaseya est recommander limiter l’accès à l’interface graphique Web VSA aux adresses IP locales en bloquant le port 443 entrant sur votre pare-feu Internet.

Publicité

Kaseya avertit également ses clients que l’installation du correctif obligerait tous les utilisateurs à modifier obligatoirement leur mot de passe après la connexion pour répondre aux nouvelles exigences en matière de mot de passe, ajoutant que certaines fonctionnalités ont été remplacées par des alternatives améliorées et que la « version introduit des défauts fonctionnels qui seront corrigés dans une prochaine version. »

Outre le déploiement du correctif pour les versions sur site de son logiciel de surveillance et de gestion à distance VSA, la société a également instancié le rétablissement de son infrastructure VSA SaaS. « La restauration des services progresse comme prévu, avec 60 % de nos clients SaaS en direct et des serveurs en ligne pour le reste de nos clients dans les heures à venir. » Kaseya mentionné dans un avis glissant.

Le dernier développement intervient quelques jours après que Kaseya a averti que les spammeurs profitent de la crise actuelle des ransomwares pour envoyer de fausses notifications par e-mail qui semblent être des mises à jour de Kaseya, uniquement pour infecter les clients avec des charges utiles Cobalt Strike pour accéder aux systèmes et fournir la prochaine étape. malware.

Kaseya a déclaré que plusieurs failles étaient enchaînées dans ce qu’elle a appelé une « cyberattaque sophistiquée », mais on pense qu’une combinaison de CVE-2021-30116, CVE-2021-30119 et CVE-2021-30120 a été utilisée pour effectuer les intrusions. . REvil, un gang prolifique de ransomware basé en Russie, a revendiqué l’incident.

L’utilisation de partenaires de confiance tels que des fabricants de logiciels ou des fournisseurs de services comme Kaseya pour identifier et compromettre de nouvelles victimes en aval, souvent appelées attaque de chaîne d’approvisionnement, et l’associer à des infections par ransomware de cryptage de fichiers en a également fait l’une des plus importantes et des plus importantes de ce type. attaques à ce jour.

Fait intéressant, Bloomberg a rapporté samedi que cinq anciens employés de Kaseya avaient signalé à l’entreprise des failles de sécurité « flagrantes » dans son logiciel entre 2017 et 2020, mais leurs inquiétudes ont été écartées.

Gestion Des Mots De Passe D'Entreprise

« Parmi les problèmes les plus flagrants figuraient les logiciels sous-tendus par un code obsolète, l’utilisation d’un cryptage et de mots de passe faibles dans les produits et les serveurs de Kaseya, le non-respect des pratiques de base en matière de cybersécurité telles que la mise à jour régulière des logiciels et l’accent mis sur les ventes au détriment d’autres priorités. , » le rapport mentionné.

L’attaque Kaseya marque la troisième fois que les affiliés de ransomware abusent des produits Kaseya comme vecteur pour déployer des ransomwares.

Dans Février 2019, le cartel du ransomware Gandcrab – qui plus tard évolué en Sodinokibi et REvil — a exploité une vulnérabilité dans un plug-in Kaseya pour le logiciel ConnectWise Manage afin de déployer des ransomwares sur les réseaux des clients des MSP. Puis dans Juin 2019, le même groupe s’est attaqué aux produits Webroot SecureAnywhere et Kaseya VSA pour infecter les terminaux avec le ransomware Sodinokibi.


Rate this post
Publicité
Article précédentCanInde Nouvelles | Les nouveaux téléphones, montres et écouteurs Samsung Galaxy ont fuité dans les images
Article suivantRick et Morty Promo partagent un premier aperçu du prochain épisode de la saison 5 : regardez
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici