Kaseya-patch voor VSA vereist meer dan patchen

Gebruikers van de on-premisesuitvoering van VSA (Virtual Systems Administrator) hebben nog een klus voor de boeg vóórdat ze de patch kunnen installeren. Executive vice-president Mike Sanders heeft dat enkele uren voor het uitbrengen van de langverwachte patch al aangekondigd in een videoboodschap. Kaseya heeft de clouduitvoering van VSA ruim een week geleden offline gehaald en on-premgebruikers gezegd hun VSA-servers uit te schakelen.

Aangepaste pre-patchinstructies

Sanders vertelt kijkers dat Kaseya een supportteam klaar heeft staan om vragen van klanten te beantwoorden en om hun te helpen met zaken waar ze tegenaan lopen bij het herstel van hun VSA-installaties. Daarvoor heeft de leverancier ook een zogeheten runbook opgesteld, met stappen en scripts die VSA-gebruikers moeten uitvoeren. Deze instructies zijn vorige week al gedeeld, maar zijn afgelopen weekend vlak vóór de komst van de patch nog aangepast.

Gebruikers van de VSA-beheersoftware moeten daar goed naar kijken, zegt Sanders. "Vooral als je het al eerder, vóór vandaag, hebt gedraaid", aldus de videoboodschap van zondag. Er zijn namelijk veranderingen niet alleen in de maatregelen die genomen moeten worden maar ook in de scripts die gedraaid moeten worden. Dat laatste dient voor het verwijderen van nog uitstaande scripts en jobs in de VSA-software.

Nieuw: stap 7

Het bijgewerkte runbook bevat een volledig nieuwe, zevende stap die gebruikers van on-premise VSA-servers moeten nemen. Deze betreft een assessment van de SQL-database die de Kaseya-software gebruikt. De leverancier van de beheertool biedt daarvoor een PowerShell-script dat verbinding legt met de lokale SQL-instance en dan een HTML-rapport aanmaakt. Dat rapport biedt dan inzichten (data points) die volgens Kaseya van belang zijn om door te nemen.

Deze inzichten zijn niet direct gerelateerd aan tekenen van digitale inbraak (zogeheten indicators of compromise: IOC's). Daarvoor had Kaseya al een IOC-scantool uitgebracht. De assessment van de bij VSA gebruikte SQL-installaties is een audit van informatie betreffende gebruikers, procedures en VSA-agentsoftware op clientsystemen. Deze audit moet worden uitgevoerd voordat VSA-servers worden gepatcht, opnieuw gestart en weer online gebracht.