Kaseya a publié une mise à jour de sécurité pour les vulnérabilités zero-day de VSA utilisées par le groupe de cyberattaquants du ransomware REvil afin d’attaquer les MSP (Managed Service Provider) et leurs clients.

Ces mises à jour corrigent la plupart des vulnérabilités sur le service VSA SaaS, mais pas celle de la version sur site de VSA.

Malheureusement, le groupe de ransomware REvil a devancé Kaseya et a utilisé ces vulnérabilités pour lancer une attaque massive le 2 juillet contre environ 60 MSP utilisant des serveurs VSA sur site et 1500 clients professionnels.

Près de dix jours après les attaques, Kaseya a publié la mise à jour VSA 9.5.7a (9.5.7.2994) pour corriger les vulnérabilités suivantes :

· Fuite d'informations d'identification : CVE-2021-30116

· Vulnérabilité de Cross Site Scripting : CVE-2021-30119

· Contournement du système d’authentification à deux facteurs : CVE-2021-30120

· Correction d'un problème où le drapeau sécurisé n'était pas utilisé pour les cookies de session du portail utilisateur.

· Correction d'un problème où certaines réponses API contenaient un hachage de mot de passe, exposant potentiellement tout mot de passe faible à une attaque par force brute. La valeur du mot de passe est désormais complètement masquée.

· Correction d'une vulnérabilité qui pouvait permettre le téléchargement non autorisé de fichiers sur le serveur VSA.

Cependant, Kaseya recommande vivement aux clients de suivre les étapes du "Guide de préparation au démarrage de VSA sur site" avant d'installer la mise à jour afin d'éviter d'autres violations et de s'assurer que les dispositifs ne sont pas déjà compromis.

Il est essentiel que les serveurs VSA sur site ne soient pas accessibles au public depuis Internet afin d'éviter toute compromission pendant l'installation du correctif.

Pour plus de sécurité, Kaseya suggère également aux administrateurs de VSA sur site de limiter l'accès à l'interface web aux adresses IP locales et à celles connues pour être utilisées par les produits de sécurité.

Après avoir installé le correctif, tous les utilisateurs devront changer leur mot de passe par un mot de passe répondant aux nouvelles exigences.