Gestione IT

Aggiornamento di sicurezza: come procedere

31 Gennaio 2018

Nelle scorse ore è stato scoperto un problema di sicurezza in Kaseya VSA.

In determinate circostanze, questa vulnerabilità può essere utilizzata per installare un software di mining  per la criptovaluta Monero (XMR) sugli endpoint gestiti con Kaseya.
Questo significa che a insaputa dei clienti (e dei fornitori di servizi IT) è possibile che venga installato un software "estraneo" sugli endpoint.

Il software di mining delle criptovalute (che potrebbe venire installato grazie alla vulnerabilità) non è dannoso o pericoloso in sé e non danneggia o cancella in alcuni modo i dati: sfrutta "solo" la CPU per generare criptovalute.

(Nota per i più curiosi: Monero è una delle valute preferite da chi utilizza metodi illeciti per il crypto-mining perché le transazioni non sono tracciabili ed è completamente anonima).

Kaseya ha prontamente rilasciato le patch per tutte le versioni di VSA supportate, in particolare:

Versione R9.5:  Patch 9.5.0.3
Versione R9.4:  Patch 9.4.0.35
Versione R9.3:  Patch 9.3.0.34

Per i server alla versione 9.2 o precedenti, si consiglia di aggiornare almeno alla 9.3.

E' quindi imperativo installare queste patch quanto prima sul server che ospita Kaseya secondo questa procedura:

  • eseguire kinstall.exe, che si trova in Start->Programmi->Kaseya->Kinstall
  • dopo averlo lanciato, selezionare l'ozpione "Install addons only. Do not upgrade VSA"

Kaseya ha rilasciato anche script e procedure per verificare che sulle macchine gestite non sia stato installato il software per il mining delle criptovalute, e, se necessario, per ripulirle automaticamente.

Per avere script e procedure devi:

  • scaricare un file in formato XML (ATTENZIONE: se la versione del file XML fosse cambiata e il link indicato non funzionasse, si può scaricare una versione aggiornata del file da questa pagina);
  • importarlo dentro Kaseya dall'import center.

L'importazione crea anche una vista e un report (sotto spiego come usarli).

Sebbene nell'articolo di riferimento siano descritte diverse opzioni per la verifica e la pulizia, ti consiglio di utilizzare la procedura che si appoggia ai Custom Fields dell'Audit, perché più efficiente.

Per comodità, ne ricordiamo qui i passi fondamentali:

  • creare un campo personalizzato di nome XMR e di tipo stringa cliccando sul pulsante New Custom Field in Audit->View Individual Data->Machine Summary;
  • scaricare il file XMR.xml linkato in fondo all'articolo qui sopra e importarlo sul VSA utilizzando la funzione System->Server Management->Import Center;
  • verificare che in Agent Procedures->Manage Procedures->Schedule / Create sia stata importata una cartella di nome XMR v2 contenente due nuove Agent Procedures;
  • verificare che in Info Center->Reporting->Reports sia presente un nuovo report di nome XMR;
  • verificare che in Views sia presente una nuova vista XMR;
  • editare la vista XMR, cliccare sul pulsante Define Filter in basso, localizzare il campo di nome XMR e valorizzarlo con la stringa "System Affected" comprensiva di virgolette, quindi salvare;
  • andare in Agent Procedures->Manage Procedures->Schedule / Create, selezionare la procedura di nome XMR Endpoint Check v2 ed eseguirla su tutti gli account macchina;
  • selezionare quindi la vista XMR per isolare i sistemi interessati dal problema;
  • qualora ve ne siano, verificare a campione in Audit->View Individual Data->Machine Summary che il campo XMR sia valorizzato con la stringa "System Affected", quindi aprire un caso con oggetto XMR sul portale di Achab dedicato al supporto.

Una volta messi al sicuro i sistemi con queste patch non ci saranno conseguenze di alcun tipo per i tuoi clienti.

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (1)
guest
1 Commento
Più vecchio
Più recente Più votato
Inline Feedbacks
Guarda tutti i commenti
Filippo Micalizzi
Filippo Micalizzi
4 anni fa

Buonasera,
il link al file xml non funziona….