Gestione IT

Aggiornamento di sicurezza: come procedere

31 Gennaio 2018

Nelle scorse ore è stato scoperto un problema di sicurezza in Kaseya VSA.

In determinate circostanze, questa vulnerabilità può essere utilizzata per installare un software di mining  per la criptovaluta Monero (XMR) sugli endpoint gestiti con Kaseya.
Questo significa che a insaputa dei clienti (e dei fornitori di servizi IT) è possibile che venga installato un software "estraneo" sugli endpoint.

Il software di mining delle criptovalute (che potrebbe venire installato grazie alla vulnerabilità) non è dannoso o pericoloso in sé e non danneggia o cancella in alcuni modo i dati: sfrutta "solo" la CPU per generare criptovalute.

(Nota per i più curiosi: Monero è una delle valute preferite da chi utilizza metodi illeciti per il crypto-mining perché le transazioni non sono tracciabili ed è completamente anonima).

Kaseya ha prontamente rilasciato le patch per tutte le versioni di VSA supportate, in particolare:

Versione R9.5:  Patch 9.5.0.3
Versione R9.4:  Patch 9.4.0.35
Versione R9.3:  Patch 9.3.0.34

Per i server alla versione 9.2 o precedenti, si consiglia di aggiornare almeno alla 9.3.

E' quindi imperativo installare queste patch quanto prima sul server che ospita Kaseya secondo questa procedura:

  • eseguire kinstall.exe, che si trova in Start->Programmi->Kaseya->Kinstall
  • dopo averlo lanciato, selezionare l'ozpione "Install addons only. Do not upgrade VSA"

Kaseya ha rilasciato anche script e procedure per verificare che sulle macchine gestite non sia stato installato il software per il mining delle criptovalute, e, se necessario, per ripulirle automaticamente.

Per avere script e procedure devi:

  • scaricare un file in formato XML (ATTENZIONE: se la versione del file XML fosse cambiata e il link indicato non funzionasse, si può scaricare una versione aggiornata del file da questa pagina);
  • importarlo dentro Kaseya dall'import center.

L'importazione crea anche una vista e un report (sotto spiego come usarli).

Sebbene nell'articolo di riferimento siano descritte diverse opzioni per la verifica e la pulizia, ti consiglio di utilizzare la procedura che si appoggia ai Custom Fields dell'Audit, perché più efficiente.

Per comodità, ne ricordiamo qui i passi fondamentali:

  • creare un campo personalizzato di nome XMR e di tipo stringa cliccando sul pulsante New Custom Field in Audit->View Individual Data->Machine Summary;
  • scaricare il file XMR.xml linkato in fondo all'articolo qui sopra e importarlo sul VSA utilizzando la funzione System->Server Management->Import Center;
  • verificare che in Agent Procedures->Manage Procedures->Schedule / Create sia stata importata una cartella di nome XMR v2 contenente due nuove Agent Procedures;
  • verificare che in Info Center->Reporting->Reports sia presente un nuovo report di nome XMR;
  • verificare che in Views sia presente una nuova vista XMR;
  • editare la vista XMR, cliccare sul pulsante Define Filter in basso, localizzare il campo di nome XMR e valorizzarlo con la stringa "System Affected" comprensiva di virgolette, quindi salvare;
  • andare in Agent Procedures->Manage Procedures->Schedule / Create, selezionare la procedura di nome XMR Endpoint Check v2 ed eseguirla su tutti gli account macchina;
  • selezionare quindi la vista XMR per isolare i sistemi interessati dal problema;
  • qualora ve ne siano, verificare a campione in Audit->View Individual Data->Machine Summary che il campo XMR sia valorizzato con la stringa "System Affected", quindi aprire un caso con oggetto XMR sul portale di Achab dedicato al supporto.

Una volta messi al sicuro i sistemi con queste patch non ci saranno conseguenze di alcun tipo per i tuoi clienti.

Autore
Gabriele Palumbo
Nasco a Bologna ma ho vissuto l’infanzia in Piemonte, l’adolescenza in Puglia e la maturità tra Umbria, Toscana, Puglia, Emilia-Romagna e Lombardia (e non è ancora finita). Ho avuto quindi modo di entrare in contatto con diversi ambienti e contesti sociali. Una formazione umanistica (Sociologia della devianza a Perugia e Relazioni Internazionali a Pisa), passione per la scrittura e decine di corsi sul mondo digital sono state ottime basi per entrare nel campo del marketing e della comunicazione. Nel 2015 pubblico il romanzo breve “Ci siamo solo persi di vista” e, a inizio 2019, pubblico la biografia della rock band “Ministri”, entrata in poche ore nei Top Sellers di Amazon. Un romanzo è in fase di scrittura. Terminati gli studi entro attivamente nel mondo della musica, organizzando svariati concerti e un festival, e della comunicazione digitale, gestendo la linea editoriale di blog e social e ricoprendo ruoli di copywriter e content editor. Nel 2017 entro nel collettivo Dischirotti. occupandomi dei contenuti web, mentre il 2018 mi vede prima nell’agenzia FLOOR concerti come booking agent per svariati artisti e poi in VOX concerti come direttore di produzione. Tornato a Bologna inizio a collaborare con l’etichetta discografica Manita Dischi come project manager e svolgo un tirocinio presso l’agenzia di marketing e comunicazione digitale Engine Lab, nel ruolo di content editor. Dal 2020 al 2023 ho collaborato, sia come editor che come contributor, con Fantastico.esclamativo, newsletter letteraria e rivista culturale creata da Alberto Guidetti de Lo Stato Sociale. Ogni due sabati invio “Capibara”, una newsletter che tratta di attualità e meme in un progetto che, occasionalmente, porto anche dal vivo sotto forma di Stand-Up. Attualmente ricopro il ruolo di Channel Marketing Manager in Achab, con particolare focus su contenuti editoriali, analytics, marketing automation e CMS.
Commenti (1)
Iscriviti
Notificami
guest
1 Commento
Più vecchio
Più recente Più votato
Inline Feedbacks
Guarda tutti i commenti
Filippo Micalizzi
Filippo Micalizzi
6 anni fa

Buonasera,
il link al file xml non funziona….