Aggiornamento di sicurezza: come procedere

Nelle scorse ore è stato scoperto un problema di sicurezza in Kaseya VSA.

In determinate circostanze, questa vulnerabilità può essere utilizzata per installare un software di mining  per la criptovaluta Monero (XMR) sugli endpoint gestiti con Kaseya.
Questo significa che a insaputa dei clienti (e dei fornitori di servizi IT) è possibile che venga installato un software "estraneo" sugli endpoint.

Il software di mining delle criptovalute (che potrebbe venire installato grazie alla vulnerabilità) non è dannoso o pericoloso in sé e non danneggia o cancella in alcuni modo i dati: sfrutta "solo" la CPU per generare criptovalute.

(Nota per i più curiosi: Monero è una delle valute preferite da chi utilizza metodi illeciti per il crypto-mining perché le transazioni non sono tracciabili ed è completamente anonima).

Kaseya ha prontamente rilasciato le patch per tutte le versioni di VSA supportate, in particolare:

Versione R9.5:  Patch 9.5.0.3
Versione R9.4:  Patch 9.4.0.35
Versione R9.3:  Patch 9.3.0.34

Per i server alla versione 9.2 o precedenti, si consiglia di aggiornare almeno alla 9.3.

E' quindi imperativo installare queste patch quanto prima sul server che ospita Kaseya secondo questa procedura:

• eseguire kinstall.exe, che si trova in Start->Programmi->Kaseya->Kinstall
• dopo averlo lanciato, selezionare l'ozpione "Install addons only. Do not upgrade VSA"

Kaseya ha rilasciato anche script e procedure per verificare che sulle macchine gestite non sia stato installato il software per il mining delle criptovalute, e, se necessario, per ripulirle automaticamente.

Per avere script e procedure devi:

• scaricare un file in formato XML (ATTENZIONE: se la versione del file XML fosse cambiata e il link indicato non funzionasse, si può scaricare una versione aggiornata del file da questa pagina);
• importarlo dentro Kaseya dall'import center.

L'importazione crea anche una vista e un report (sotto spiego come usarli).

Sebbene nell'articolo di riferimento siano descritte diverse opzioni per la verifica e la pulizia, ti consiglio di utilizzare la procedura che si appoggia ai Custom Fields dell'Audit, perché più efficiente.

Per comodità, ne ricordiamo qui i passi fondamentali:

• creare un campo personalizzato di nome XMR e di tipo stringa cliccando sul pulsante New Custom Field in Audit->View Individual Data->Machine Summary;
• scaricare il file XMR.xml linkato in fondo all'articolo qui sopra e importarlo sul VSA utilizzando la funzione System->Server Management->Import Center;
• verificare che in Agent Procedures->Manage Procedures->Schedule / Create sia stata importata una cartella di nome XMR v2 contenente due nuove Agent Procedures;
• verificare che in Info Center->Reporting->Reports sia presente un nuovo report di nome XMR;
• verificare che in Views sia presente una nuova vista XMR;
• editare la vista XMR, cliccare sul pulsante Define Filter in basso, localizzare il campo di nome XMR e valorizzarlo con la stringa "System Affected" comprensiva di virgolette, quindi salvare;
• andare in Agent Procedures->Manage Procedures->Schedule / Create, selezionare la procedura di nome XMR Endpoint Check v2 ed eseguirla su tutti gli account macchina;
• selezionare quindi la vista XMR per isolare i sistemi interessati dal problema;
• qualora ve ne siano, verificare a campione in Audit->View Individual Data->Machine Summary che il campo XMR sia valorizzato con la stringa "System Affected", quindi aprire un caso con oggetto XMR sul portale di Achab dedicato al supporto.

Una volta messi al sicuro i sistemi con queste patch non ci saranno conseguenze di alcun tipo per i tuoi clienti.