Overslaan en naar de inhoud gaan

Kaseya-patch voor VSA vereist meer dan patchen

Software- en SaaS-aanbieder Kaseya is sinds zondag bezig zijn beheercloud weer online te brengen en heeft toen ook de patch uitgebracht tegen kwetsbaarheden waarlangs ransomware is gedistribueerd via beheersoftware VSA. Daarmee heeft het bedrijf zijn meermaals herziene planning gehaald voor herstel van zijn beheercloud plus release van de beloofde patch. Klanten kunnen echter niet meteen gaan patchen.
Kaseya, executive vice-president Sanders
© Kaseya
Kaseya

Gebruikers van de on-premisesuitvoering van VSA (Virtual Systems Administrator) hebben nog een klus voor de boeg vóórdat ze de patch kunnen installeren. Executive vice-president Mike Sanders heeft dat enkele uren voor het uitbrengen van de langverwachte patch al aangekondigd in een videoboodschap. Kaseya heeft de clouduitvoering van VSA ruim een week geleden offline gehaald en on-premgebruikers gezegd hun VSA-servers uit te schakelen.

Aangepaste pre-patchinstructies

Sanders vertelt kijkers dat Kaseya een supportteam klaar heeft staan om vragen van klanten te beantwoorden en om hun te helpen met zaken waar ze tegenaan lopen bij het herstel van hun VSA-installaties. Daarvoor heeft de leverancier ook een zogeheten runbook opgesteld, met stappen en scripts die VSA-gebruikers moeten uitvoeren. Deze instructies zijn vorige week al gedeeld, maar zijn afgelopen weekend vlak vóór de komst van de patch nog aangepast.

Gebruikers van de VSA-beheersoftware moeten daar goed naar kijken, zegt Sanders. "Vooral als je het al eerder, vóór vandaag, hebt gedraaid", aldus de videoboodschap van zondag. Er zijn namelijk veranderingen niet alleen in de maatregelen die genomen moeten worden maar ook in de scripts die gedraaid moeten worden. Dat laatste dient voor het verwijderen van nog uitstaande scripts en jobs in de VSA-software.

Nieuw: stap 7

Het bijgewerkte runbook bevat een volledig nieuwe, zevende stap die gebruikers van on-premise VSA-servers moeten nemen. Deze betreft een assessment van de SQL-database die de Kaseya-software gebruikt. De leverancier van de beheertool biedt daarvoor een PowerShell-script dat verbinding legt met de lokale SQL-instance en dan een HTML-rapport aanmaakt. Dat rapport biedt dan inzichten (data points) die volgens Kaseya van belang zijn om door te nemen.

Deze inzichten zijn niet direct gerelateerd aan tekenen van digitale inbraak (zogeheten indicators of compromise: IOC's). Daarvoor had Kaseya al een IOC-scantool uitgebracht. De assessment van de bij VSA gebruikte SQL-installaties is een audit van informatie betreffende gebruikers, procedures en VSA-agentsoftware op clientsystemen. Deze audit moet worden uitgevoerd voordat VSA-servers worden gepatcht, opnieuw gestart en weer online gebracht.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in