La gran mayoría de los usuarios que ejecutan la versión de software como servicio (SaaS) del producto de administración de red y punto final VSA de Kaseya ya deberían haber recuperado sus servicios mientras la compañía se recupera de un ataque de ransomware REvil el 2 de julio.
Kaseya lanzó un parche para las vulnerabilidades explotadas por REvil para sus clientes en las instalaciones un poco antes de lo previsto en la tarde del domingo 11 de julio, y comenzó el proceso de implementación en su infraestructura SaaS.
A primera hora de la mañana del lunes 12 de julio, dijo Kaseya, el proceso estaba bien encaminado. En un comunicado, la compañía dijo: “La restauración de los servicios está progresando, con el 95% de nuestros clientes de SaaS en vivo y los servidores en línea para el resto de nuestros clientes en las próximas horas. Nuestros equipos de soporte están trabajando con los clientes de VSA On-Premises que han solicitado ayuda con el parche “.
El parche, la versión VSA 9.5.7.a, corrige tres vulnerabilidades y exposiciones comunes (CVE) reveladas. Estos son CVE-2021-30116, una fuga de credenciales y un defecto de lógica empresarial; CVE-2021-30119, una vulnerabilidad de secuencias de comandos entre sitios; y CVE-2021-30120, un desvío de autenticación de dos factores.
También corrige tres problemas distintos, uno en el que no se utilizó el indicador de seguridad para las cookies de sesión del portal del usuario; uno en el que ciertas respuestas de la API contendrían un hash de contraseña que podría exponer las contraseñas débiles a un ataque de fuerza bruta; y uno que podría haber permitido la carga no autorizada de archivos al servidor VSA.
Aquí se puede encontrar un desglose completo del parche, incluidas instrucciones adicionales para usuarios locales y más detalles de los cambios en la política de autenticación, los paquetes y procedimientos de agentes, y algunas características que deben permanecer temporalmente no disponibles a la espera de mayor atención.
Los analistas de Huntress han confirmado que al aplicar el parche, el exploit de prueba de concepto falla y, por lo tanto, el vector de ataque parece haber sido eliminado. Sin embargo, para algunos usuarios de los servidores en las instalaciones, todavía puede haber algunas preocupaciones de que sus sistemas apagados aún tengan trabajos pendientes en cola para rescatar más puntos finales una vez que vuelvan a estar en línea. Por lo tanto, los usuarios deben asegurarse de eliminarlos.
Actualizaciones de funciones
Mientras tanto, a medida que Kaseya comienza el proceso de avanzar, la compañía enfrenta acusaciones de antiguos empleados de que había provocado problemas al priorizar las actualizaciones de productos y funciones sobre la seguridad cibernética.
Según Bloomberg, que habló con algunos de los empleados descontentos, algunos aparentemente renunciaron por frustración, mientras que otro que supuestamente proporcionó al liderazgo de la compañía un memorando de 40 páginas que detalla los problemas con VSA, dice que fueron despedidos quince días después.
Entre las acusaciones se encuentran las afirmaciones de que Kaseya estaba usando código desactualizado, no implementaba el cifrado adecuado y no parcheaba sus productos de forma rutinaria. Los empleados también dijeron que el ataque REvil no era la primera vez que los productos de Kaseya habían sido explotados por bandas de ransomware.
En un comunicado proporcionado a Gizmodo, Kaseya dijo que se centró en su investigación y en ayudar a los clientes afectados por el ataque, no en la “especulación aleatoria”.