Beheer

Security
Kasyea-vp Mike Sanders

Kaseya-patch voor VSA vereist meer dan patchen

Herziene patchplanning nu wel gehaald, maar werk aan de winkel voor Kaseya-klanten.

Mike Sanders © Kaseya
12 juli 2021

Herziene patchplanning nu wel gehaald, maar werk aan de winkel voor Kaseya-klanten.

Software- en SaaS-aanbieder Kaseya is sinds zondag bezig zijn beheercloud weer online te brengen en heeft toen ook de patch uitgebracht tegen kwetsbaarheden waarlangs ransomware is gedistribueerd via beheersoftware VSA. Daarmee heeft het bedrijf zijn meermaals herziene planning gehaald voor herstel van zijn beheercloud plus release van de beloofde patch. Klanten kunnen echter niet meteen gaan patchen.

Gebruikers van de on-premisesuitvoering van VSA (Virtual Systems Administrator) hebben nog een klus voor de boeg vóórdat ze de patch kunnen installeren. Executive vice-president Mike Sanders heeft dat enkele uren voor het uitbrengen van de langverwachte patch al aangekondigd in een videoboodschap. Kaseya heeft de clouduitvoering van VSA ruim een week geleden offline gehaald en on-premgebruikers gezegd hun VSA-servers uit te schakelen.

Aangepaste pre-patchinstructies

Sanders vertelt kijkers dat Kaseya een supportteam klaar heeft staan om vragen van klanten te beantwoorden en om hun te helpen met zaken waar ze tegenaan lopen bij het herstel van hun VSA-installaties. Daarvoor heeft de leverancier ook een zogeheten runbook opgesteld, met stappen en scripts die VSA-gebruikers moeten uitvoeren. Deze instructies zijn vorige week al gedeeld, maar zijn afgelopen weekend vlak vóór de komst van de patch nog aangepast.

Gebruikers van de VSA-beheersoftware moeten daar goed naar kijken, zegt Sanders. "Vooral als je het al eerder, vóór vandaag, hebt gedraaid", aldus de videoboodschap van zondag. Er zijn namelijk veranderingen niet alleen in de maatregelen die genomen moeten worden maar ook in de scripts die gedraaid moeten worden. Dat laatste dient voor het verwijderen van nog uitstaande scripts en jobs in de VSA-software.

Nieuw: stap 7

Het bijgewerkte runbook bevat een volledig nieuwe, zevende stap die gebruikers van on-premise VSA-servers moeten nemen. Deze betreft een assessment van de SQL-database die de Kaseya-software gebruikt. De leverancier van de beheertool biedt daarvoor een PowerShell-script dat verbinding legt met de lokale SQL-instance en dan een HTML-rapport aanmaakt. Dat rapport biedt dan inzichten (data points) die volgens Kaseya van belang zijn om door te nemen.

Deze inzichten zijn niet direct gerelateerd aan tekenen van digitale inbraak (zogeheten indicators of compromise: IOC's). Daarvoor had Kaseya al een IOC-scantool uitgebracht. De assessment van de bij VSA gebruikte SQL-installaties is een audit van informatie betreffende gebruikers, procedures en VSA-agentsoftware op clientsystemen. Deze audit moet worden uitgevoerd voordat VSA-servers worden gepatcht, opnieuw gestart en weer online gebracht.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.