Kaseya publie un correctif pour les clients sur site, le déploiement SaaS est en cours
Kaseya a publié le correctif promis pour résoudre des failles de sécurité responsables d’une attaque par ransomware.
Le fournisseur de solutions logicielles, qui compte des fournisseurs de services gérés (MSP) parmi ses clients, a fait l’objet d’une attaque informatique le 2 juillet dernier. Kaseya indique que le groupe de menace responsable, REvil, a exploité des vulnérabilités non corrigées dans le logiciel de surveillance à distance VSA de l’entreprise, pour déclencher à la fois le contournement de l’authentification et l’exécution de code, ce qui lui a permis de déployer un ransomware sur les points finaux des clients.
On estime qu’entre 800 et 1 500 entreprises ont été touchées. REvil a exigé une rançon de 70 millions de dollars.
Le déploiement du correctif suit son cours
Kaseya a mis ses systèmes SaaS hors ligne et exhorté ses clients à fermer leurs serveurs VSA lorsque les premiers rapports de cyberattaques sont arrivés. Les premières tentatives de relance des serveurs SaaS ont eu lieu et ont été fixées au 6 juillet, mais des problèmes techniques ont entraîné un nouveau retard. Selon Kaseya, la décision a été prise par le PDG Fred Voccola, afin de donner à l’entreprise le temps de renforcer les mécanismes de sécurité existants.
Dimanche, le géant de la technologie annonçait que le déploiement est en cours et se déroule « comme prévu ». Au total, 95 % des clients SaaS de la société sont désormais en ligne, et les serveurs « seront mis en ligne pour le reste de nos clients dans les heures à venir ».
Les clients sur site ont également accès au correctif VSA, et les équipes de support travaillent avec les organisations qui ont besoin d’aide pour appliquer la mise à jour de sécurité.
Les notes de mise à jour pour les déploiements VSA sur site et SaaS comprennent des corrections pour trois vulnérabilités : une fuite d’informations d’identification et une faille de la logique commerciale (CVE-2021-30116), un bug de script intersite (CVE-2021-30119) et un contournement de l’authentification à deux facteurs (CVE-2021-30120).
Des alertes par le passé
En outre, Kaseya a résolu un problème de drapeau sécurisé dans les cookies de session du portail utilisateur, un processus de réponse API qui pouvait exposer des informations d’identification faibles à des attaques par force brute, et une vulnérabilité de téléchargement de fichier non autorisé ayant un impact sur les serveurs VSA.
En raison de la rapidité nécessaire au déploiement du correctif, certaines fonctionnalités de VSA ont été désactivées temporairement – y compris certains points de terminaison API. « Par excès de prudence, ces appels d’API sont en train d’être redéfinis pour assurer le plus haut niveau de sécurité », explique Kaseya. « Les fonctions individuelles seront rétablies dans les versions ultérieures de cette année. »
Kaseya a également supprimé temporairement la possibilité de télécharger des paquets d’installation d’agents sans authentification à VSA et à la page du portail utilisateur. Un certain nombre de fonctions héritées ont été définitivement supprimées.
Les clients devront changer leur mot de passe après avoir installé et s’être connectés à la dernière version. Kaseya a également fourni des guides de durcissement et de meilleures pratiques pour VSA SaaS et on-premise.
Bloomberg rapporte que, par le passé, d’anciens employés ont tiré la sonnette d’alarme sur des problèmes de cybersécurité, notamment un code obsolète, un chiffrement faible et l’absence de processus de correction solides. Toutefois, les anciens membres du personnel ont affirmé que leurs préoccupations n’avaient pas été pleinement prises en compte.
Source : ZDNet.com
