Kaseya a communiqué un correctif aux clients utilisant les serveurs Unitrends. Le patch concerne deux vulnérabilités de type "zero-day" qui pourraient conduire à une élévation des privilèges et à une exécution de code à distance authentifiée.

Kaseya Unitrends est une solution de sauvegarde et de restauration d'entreprise basée sur le cloud, fournie en tant que solution autonome ou en tant qu'extension de la plateforme de gestion à distance VSA de Kaseya.

Les deux failles corrigées font partie d'un trio de vulnérabilités découvertes et signalées par des chercheurs du Dutch Institute for Vulnerability Disclosure (DIVD) le 3 juillet 2021. Cependant, ce patch n'incluent pas une correction pour la troisième vulnérabilité qui affecte le client.

Kaseya a publié la version 10.5.5-2 d'Unitrends le 12 août pour corriger les deux vulnérabilités du serveur, et poursuit actuellement ses efforts pour corriger la troisième faille d'exécution de code à distance non authentifiée qui affecte le client.

Etant donné que la vulnérabilité côté client n'est pas encore corrigée, Kaseya recommande vivement aux utilisateurs d'atténuer ces vulnérabilités par le biais de règles de pare-feu, conformément à leurs meilleures pratiques et aux exigences en matière de pare-feu. En plus de cela, ils ont publié un article de référence détaillant les étapes à suivre pour atténuer la vulnérabilité.