Kaseya: VSA-beheersoftware komt dit weekend weer terug

Het weer aanzetten van VSA (Virtual Systems Administrator) gebeurt dan in de middag, Amerikaanse tijd aan de oostkust (Eastern Standard Time, EST). "Dat is een laaange tijd om down te zijn", zegt Voccola in de wat slecht verstaanbare selfie-video. Hij neemt daarbij de verantwoordelijkheid volledig op zich voor het uitstel, waardoor klanten wachten op de SaaS-terugkeer én de patch voor het softwareproduct.

Tijdens herstelprocedure op de rem

"Het was míjn beslissing om dit te doen. Het was míjn beslissing en van niemand anders", benadrukt de CEO van het bedrijf waarlangs vorige week vrijdag een massale ransomware-aanval is uitgevoerd. De beslissing waar hij het over heeft, is het nieuwste uitstel wat op de valreep is gekomen. Kaseya stond gister namelijk op het punt om zijn beheer-SaaS weer online te zetten, en daarna de patch voor on-prem klanten uit te brengen.

De topman legt in zijn video op de informatiepagina over de aanval uit dat alle kwetsbaarheden die zijn misbruikt bij de aanval waren afgedekt. "We waren zelfverzekerd over de release." Maar, zo voegt hij gelijk toe, sommige van de externe experts en Kaseya's eigen IT-mensen hadden nog wat suggesties voor aanvullende beschermingslagen. "Voor dingen die we misschien niet in staat zijn om te voorzien."

'Aanvullende bescherming'

Voccola's beslissing om tijdens het uitvoeren van de herstelprocedure toch te stoppen, was volgens hem waarschijnlijk de moeilijkste beslissing die hij in zijn carrière heeft moeten nemen. Dit betekent een aanvullende drie tot drieënhalve dag. In die tijd gaat Kaseya zich ervan verzekeren dat zijn product zoveel mogelijk versterkt wordt: "zoveel als wij denken dat we kunnen doen, voor onze klanten".

"Elk softwareproduct heeft kwetsbaarheden en onvolkomenheden (flaws). Het is onze taak om ervoor te zorgen dat wij alles doen wat kunnen zodat het niet jullie raakt", zegt de CEO tegen zijn klanten. Die gebruikers bestaan voor een deel uit managed service providers die het VSA-product gebruiken om de IT-systemen van hún klanten te beheren, en beschermen.

Voorbereiding door klanten

De topman verklaart dat zijn bedrijf en hij zelf er extreem zelfverzekerd van zijn dat het herstel aanstaande zondag, om vier uur EST, zal zijn. Dit geldt dan zowel voor de SaaS-uitvoering als de on-premises uitvoering van beheertool VSA. Klanten die de software zelf draaien, krijgen nu alvast een zogeheten runbook aangereikt met stappen die ze moeten nemen vóór de komst van de patch.

Bij de ransomware-uitbraak op vrijdag 2 juli is klanten geadviseerd om hun VSA-servers uit te schakelen. In het nu beschikbare runbook geeft Kaseya klanten zes stappen om VSA voor te bereiden op de release (en dan installatie) van de patch. Dit begint met het isoleren van de VSA-server, en er zeker van zijn dat die isolatie op orde is. Dan volgt controle op tekenen van digitale inbraak, de zogeheten indicators of compromise (IOC's). Kaseya heeft daarvoor een IOC-scantool uitgebracht.

Stap 3: patch Windows en SQL

Dan volgt de derde stap in de voorbereiding: het patchen van Windows én de daarop draaiende database SQL Server. Kaseya verwijst daarbij naar een patch-overzichtspagina van leverancier Microsoft. Stap vier is het beperken van beheertoegang tot de VSA-server, via Microsofts webserver IIS. Hiervoor is een configuratietool beschikbaar gesteld, van ontwikkelaar Gonzalo Carrillo.

Stap vijf is het installeren van agentsoftware van securityleverancier FireEye. Kaseye heeft licenties aangeschaft voor FireEye Endpoint Security, voor elke VSA-server van zijn klanten. Hiervoor moeten klanten zich wel aanmelden bij Kaseya, met aanvullende details over hun VSA-configuratie. De zesde en laatste stap, voordat het verstandig is de zondag komende patch te installeren, is het verwijderen van scripts en jobs in VSA die nog uitstaan sinds het uitschakelen van die beheerserversoftware.