I. Descrição

A Kaseya oficialmente revelou uma vulnerabilidade de execução remota de código no Kaseya VSA (CVE-2021-30116). Atacantes remotos podem explorar essa vulnerabilidade para implementar a injeção de SQL, realizar o bypass da autenticação do VSA e fazer o carregamento de arquivos maliciosos para controlar o sistema de gerenciamento do VSA sem a autenticação da identidade. De acordo com a Kaseya, malwares, incluindo o REvil, têm explorado vulnerabilidades do VSA para lançar ataques de ransomware.

O Kaseya VSA é um software usado para o gerenciamento centralizado de TI corporativa. Se você for um usuário do Kaseya VSA, verifique seu sistema e implemente medidas para a mitigação de riscos à segurança prontamente.

Referências:

https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689

https://csirt.divd.nl/2021/07/04/Kaseya-Case-Update-2/

https://us-cert.cisa.gov/ncas/current-activity/2021/07/04/cisa-fbi-guidance-msps-and-their-customers-affected-kaseya-vsa

II. Gravidade

Gravidade: importante

(Gravidade: baixa, moderada, importante e crítica)

III. Produtos afetados

Versões afetadas:

Todas as versões do Kaseya VSA

IV. Recomendações de segurança

Nenhum patch oficial foi lançado para corrigir a vulnerabilidade. Implemente as seguintes etapas para mitigar o risco:

1. Desconecte o servidor VSA local da rede e mantenha o dispositivo offline.

2. Use a ferramenta oficial de detecção do Kaseya VSA para detectar dispositivos controlados pelo VSA. Link para download: https://kaseya.app.box.com/s/0ysvgss7w48nxh8k1xt7fqhbcjxhas40

Observação: antes de corrigir vulnerabilidades, faça o backup dos seus arquivos e realize um teste completo.