Quasi dieci giorni dopo l'attacco informatico alla supply chain di Kaseya, il produttore ha pubblicato gli aggiornamenti di sicurezza per le vulnerabilità zero-day di VSA fruttate dal gruppo ransomware REvil per attaccare gli MSP e i relativi clienti. La patch era attesa con ansia perché ricordiamo che all'indomani dell'attacco Kaseya aveva esortato i clienti di VSA a spegnere i propri server VSA on-premise fino a quando non fosse stata pronta la correzione.

Dopo diversi ritardi dovuti a problemi tecnici, finalmente ieri sera è iniziata la distribuzione dell'aggiornamento VSA 9.5.7a (9.5.7.2994). L'upgrade risolve la vulnerabilità monitorata come CVE-2021-30116 relativa al leak di credenziali, la vulnerabilità cross site scripting CVE-2021-30119, quella di bypass della 2FA CVE-2021-30120.

Inoltre, è stato risolto un problema del non utilizzo dei secure flag per i cookie di User Portal. E quello per cui alcune risposte API contenevano un hash della password, esponendo potenzialmente eventuali password deboli ad attacchi brute force. Non ultimo, è stata corretta una vulnerabilità che poteva consentire il caricamento non autorizzato di file nel server VSA.
Sono tutte ottime notizie, ma Kaseya esorta a smorzare gli entusiasmi e a procedere per gradi. Prima di installare la patch il produttore consiglia di seguire tutti i passaggi contenuti nella "On Premises VSA Startup Readiness Guide" che era già online da diversi giorni, e che molti clienti potrebbero già avere fatto.

In sostanza, il passaggio intermedio serve per sincerarsi che i dispositivi non siano compromessi prima di installare l'aggiornamento, rischiando di peggiorare la situazione. Nell'ordine, bisogna verificare che i server VSA siano isolati, ossia che non siano accessibili pubblicamente da Internet, per evitare che vengano compromessi durante l'installazione della patch.

Secondo passaggio è il controllo degli indicatori di compromissione (IoC). Kaseya prega di utilizzare lo strumento che ha messo a disposizione anziché soluzioni terze, così da individuare con precisione la presenza di Kaseyawebpagesmanagedfilesvsaticketfilesagent.crt, Kaseyawebpagesmanagedfilesvsaticketfilesagent.exe, e quella di agent.crt e agent.exe usati da REvil per distribuire sugli endpoint l'eseguibile del ransomware.

Solo a questo punto è possibile servirsi dell'URL Rewrite per controllare l'accesso a VSA tramite IIS, installare FireEye Agent e rimuovere script/processi in sospeso.

Per una maggiore sicurezza, Kaseya chiede inoltre che l'amministratore VSA limiti l'accesso alla GUI Web, agli indirizzi IP locali e a quelli notoriamente utilizzati dai prodotti di sicurezza, bloccando la porta 443 in ingresso sul firewall. Per evitare problemi, fornisce anche un elenco di indirizzi IP da inserire in whitelist per non bloccare le attività.

Inutile ricordare che dopo aver installato la patch, tutti gli utenti dovranno cambiare la propria password.