Patch beschikbaar voor kwetsbaarheden VSA-software Kaseya
Kaseya heeft een beveiligingspatch gepubliceerd voor de kwetsbaarheden in de VSA-software (Virtual System Administrator). Deze patch verhelpt meerdere problemen waaronder de kwetsbaarheden die in de afgelopen weken misbruikt zijn bij grootschalige en geavanceerde ransomware-aanvallen. Houdt u er rekening mee dat in deze beveiligingsupdate sommige endpoints, zoals computers, tijdelijk zijn uitgeschakeld. Dit heeft Kaseya uit voorzorg gedaan omdat ze nog werken aan het verbeteren van de beveiliging ervan.
Wat kan ik doen?
Naast het installeren van deze patches, is het van groot belang om maatregelen toe te passen om verdere veiligheidsrisico’s te verkleinen. Kaseya heeft twee richtlijnen uitgebracht voor het beveiligen van uw Kaseya VSA-installaties (klik hier voor richtlijn 1 en hier voor richtlijn 2). Het NCSC raadt aan om deze richtlijnen te volgen en deze neer te leggen bij de beheerder van uw VSA-installaties.
Daarnaast wijzen we u op het belang van het treffen van basismaatregelen, zowel op de Kaseya server als op andere systemen binnen uw organisatie.
NB: Er zijn phishing mails in omloop die claimen van Kaseya te komen. Klik niet op links, download geen attachments en ga niet in op bellers die claimen een Kaseya partner te zijn. Voor updates kunt u terecht op de website van Kaseya.
Richtlijnen Kaseya
Het NCSC adviseert beheerders van Kaseya VSA-servers om de richtlijnen van Kaseya op te volgen, met extra aandacht voor de volgende aspecten voordat de Kaseya VSA-server weer online wordt gebracht:
1. Maak een risicoafweging of de server opnieuw ingericht of forensisch onderzocht moet worden of dat het installeren van de patch voor uw risicoprofiel voldoende is. Als forensisch onderzoek nodig is, stel dan eerst uw data veilig.
2. Controleer of er nog IIS-logboeken zijn of dat een aanvaller deze heeft verwijderd. Controleer de logboeken op afwijkende browser-types, verzoeken van IP’s die afwijken van bekende systeembeheerders, verzoeken op ongebruikelijke tijden en onverklaarbare verzoeken naar /userFilterTableRpt.asp /cgi-bin/KUpload.dll /done.asp of /dl.asp. Voor omgevingen met een hoog risicoprofiel kunt u overwegen om ook in backups van de server te zoeken in de logboeken. Daarnaast kunt u de veiliggestelde data controleren op malware vanaf een ongecompromitteerd systeem.
3. Configureer de server om alleen toegang te geven aan systemen van beheerders. Dit kan via de URL rewrite methode van Kaseya, maar het kan bijvoorbeeld ook via een al aanwezige firewall of door een VPN-oplossing met 2-factor authenticatie te gebruiken.
4. Installeer de meest recente beveilgingsupdates van Microsoft, de detectieoplossingen die Kaseya aanbiedt en installeer de beveiligingsupdate volgens de instructies van Kaseya (klik hier voor instructie 1 en hier voor instructie 2).
5. Controleer met de VSA SQL database assessment tool of de configuratie in de database is zoals u die verwacht.