Les services Kaseya VSA sont en ligne après une panne d’une semaine

La grande majorité des utilisateurs exécutant la version software-as-a-service (SaaS) du produit de gestion de réseau et de point de terminaison VSA de Kaseya auraient maintenant dû avoir leurs services restaurés alors que la société se remet d’une attaque de ransomware REvil du 2 juillet.

Kaseya a publié un correctif pour les vulnérabilités exploitées par REvil à ses clients sur site légèrement en avance sur le calendrier dans l’après-midi du dimanche 11 juillet, et a commencé le processus de déploiement sur son infrastructure SaaS.

Tôt le matin du lundi 12 juillet, a déclaré Kaseya, le processus était bien en cours. Dans un communiqué, la société a déclaré: « La restauration des services progresse, avec 95% de nos clients SaaS en direct et des serveurs mis en ligne pour le reste de nos clients dans les heures à venir. Nos équipes de support travaillent avec les clients VSA sur site qui ont demandé de l’aide avec le correctif.

Le correctif, VSA 9.5.7.a release corrige trois vulnérabilités et expositions communes (CVE) divulguées. Ce sont CVE-2021-30116, une fuite d’informations d’identification et une faille de logique métier; CVE-2021-30119, une vulnérabilité de script inter-sites (cross-site scripting); et CVE-2021-30120, un contournement de l’authentification à deux facteurs.

Il résout également trois problèmes distincts, l’un où l’indicateur sécurisé n’a pas été utilisé pour les cookies de session du portail utilisateur; un où certaines réponses d’API contiendraient un hachage de mot de passe qui pourrait potentiellement exposer des mots de passe faibles à une attaque par force brute; et celui qui aurait pu permettre le téléchargement non autorisé de fichiers sur le serveur VSA.

Vous trouverez ici une ventilation complète du correctif, y compris des instructions supplémentaires pour les utilisateurs locaux et plus de détails sur les modifications apportées à la stratégie d’authentification, aux packages et procédures de l’agent, ainsi qu’à certaines fonctionnalités qui doivent rester temporairement indisponibles en attendant une attention supplémentaire.

Les analystes de Huntress ont confirmé que lors de l’application du patch, l’exploit de preuve de concept échoue et donc le vecteur d’attaque semble avoir été éliminé. Cependant, pour certains utilisateurs des serveurs sur site, il peut encore y avoir des préoccupations que leurs systèmes hors tension peuvent encore avoir des travaux en attente mis en file d’attente pour rançonner plus de points de terminaison une fois qu’ils sont de retour en ligne. Les utilisateurs doivent donc s’assurer de les effacer.

Mises à niveau des fonctionnalités

Pendant ce temps, alors que Kaseya commence le processus d’aller de l’avant, la société fait face à des allégations d’anciens membres du personnel selon lesquelles elle avait invité des problèmes en donnant la priorité aux mises à niveau des produits et des fonctionnalités sur la cybersécurité.

Selon Bloomberg, qui s’est entretenu avec certains des employés mécontents, certains ont apparemment démissionné par frustration, tandis qu’un autre qui aurait fourni à la direction de l’entreprise un mémo de 40 pages détaillant les problèmes avec VSA, dit qu’ils ont été licenciés quinze jours plus tard.

Parmi les allégations figurent des allégations selon lesquelles Kaseya utilisait du code obsolète, ne parvenait pas à mettre en œuvre un cryptage approprié et ne corrigeait pas systématiquement ses produits. Les employés ont également déclaré que l’attaque REvil n’était pas la première fois que les produits Kaseya avaient été exploités par des gangs de ransomware.

Dans une déclaration fournie à Gizmodo, Kaseya a déclaré qu’elle se concentrait sur son enquête et sur l’assistance aux clients touchés par l’attaque, et non sur des « spéculations aléatoires ».