Gestione IT

Kaseya VSA: comunicazione importante

02 Agosto 2021

Kaseya ha rilasciato una patch da installare sul server on-premise per correggere alcune problematiche introdotte dalla patch di emergenza dell’11/07.

Kaseya consiglia di installarla quanto prima.

Nei prossimi giorni saranno rilasciate altre due patch che completeranno le risoluzioni. Anche qui il consiglio del vendor è di rispettare la scaletta di rilasci per patchare i VSA. Qui i dettagli.


23 luglio 2021

Mercoledì 21 luglio Kaseya ha ottenuto un decryptor per le vittime dell’attacco ransomware REvil.

I clienti che sono stati colpiti dal ransomware verranno contattati direttamente dal team di Kaseya.


15 luglio 2021

Kaseya ha rilasciato uno script per la verifica della corretta applicazione della patch, puoi trovare maggiori informazioni in questa pagina.

Si consiglia la verifica della corretta applicazione della patch mediante questo script fornito da Kaseya, in particolare dove la patch è stata installata due volte o dove è stata fatta una reinstallazione completa


13 luglio 2021

Domenica sera, come da attese, è uscito l’aggiornamento di Kaseya 9.5.7A.

Si può procedere alla messa in opera dei server, seguendo attentamente i dettami.

Noi di Achab abbiamo erogato un webinar per i clienti italiani che mostra come procedere in pratica e quali passi preventivi sono obbligatori per la messa in opera. Puoi accedere alla registrazione da questa pagina.


9 Luglio 2021

A seguito dei recenti sviluppi, riteniamo utile condividere alcune note.

Runbook

Kaseya ha condiviso dei runbook per effettuare alcuni controlli con il fine di verificare che gli ambienti di Kaseya VSA siano sicuri e pronti alla riaccensione:

  • Qui è possibile trovare il runbook per la versione SaaS.
  • Qui invece è disponibile il runbook per la versione on premise. Per la versione on premise vogliamo condividere anche la procedura che abbiamo seguito in Achab, la quale include: tutti i passi previsti nel runbook di Kaseya (anche se in ordine diverso), alcuni suggerimenti aggiuntivi per eseguire le operazioni in sicurezza, una serie di controlli manuali di file e processi e alcuni comandi per eseguire rapidamente le operazioni.

Attenzione a email e patch fraudolente

Sono in circolazione email fasulle che fingono di provenire da Kaseya e che riportano link malevoli. Non cliccare questi link.

Kaseya non metterà più link nelle proprie email ne allegherà nulla. Qualunque email con link o allegati è da considerare fraudolenta.

Inoltre pare che girino false patch che risolverebbero il problema dei server VSA on premise. Prestare massima attenzione alle fonti delle patch che si utilizzano.

Quando sarà disponibile la patch?

Nel video pubblicato l’8/7 Fred Voccola, il CEO di Kaseya, ha dichiarato che le patch dovrebbero arrivare alle 16:00 di domenica 11/7, ora della costa Est degli Stati Uniti.

In Italia quindi la patch dovrebbe essere disponibile intorno alle 22:00.

Achab ha deciso di non installare la patch domenica notte perché:

  • la sera si è più stanchi per fare certe operazioni, quindi si rischiano errori;
  • il rilascio della patch potrebbe ritardare, non si tratta di un orario certo e scolpito su pietra;
  • a un certo punto, finite le operazioni, il server resterebbe senza presidio tutta una nottata.

Preferiamo avere tutta la giornata davanti per poter agire con calma e poter presidiare gli avvenimenti tutto il giorno.
Pertanto installeremo la patch (se confermata) intorno alle 7:00 di lunedì 12 luglio.


5 luglio 2021

La soluzione VSA di Kaseya è purtroppo stata vittima di un sofisticato cyberattacco.
Kaseya si sta adoperando per risolvere il problema al più presto e condivide gli aggiornamenti su questa pagina.
Raccomandiamo a tutti gli utilizzatori di Kaseya VSA di tenere tale pagina sotto stretto controllo.

In particolare, sconsigliamo di intraprendere azioni in autonomia, prima che Kaseya si sia pronunciata.

Kaseya ha dichiarato che l’unico prodotto coinvolto nell’attacco è VSA e che tutti gli altri prodotti sono utilizzabili.

Evidenziamo di seguito alcune indicazioni:

  1. Se si utilizza la soluzione on-prem è caldamente consigliato lo spegnimento del server VSA. Se si utilizza la soluzione in SaaS, i server sono stati già spenti dal vendor stesso.
  2. È disponibile una nuova versione del tool per verificare se il proprio server è compromesso. Può essere scaricato al link seguente: VSA Detection Tools.zip | Powered by Box.
    Consigliamo di eseguire questa operazione solo con un tecnico esperto e prestando la MASSIMA ATTENZIONE alle operazioni che si fanno. Tra le raccomandazioni, sottolineiamo in particolare:
    – il server VSA deve essere messo fuori rete e non deve comunicare all’esterno prima di fare girare il tool;
    – appena ricevuto l’output dal detection tool spegnere nuovamente il server VSA.
  3. Se si ritiene di essere stati colpiti, scrivere una mail a support@kaseya.com con oggetto “Security Incident Report”.
Autore
Alessio Urban
Nasco a Milano nel 1979, mi sono sempre appassionato nel sapere come funzionassero gli oggetti, quindi dopo il liceo scientifico non potevo che finire a studiare Ingegneria.
In particolare ho scelto le telecomunicazioni per illudermi di poter controllare i devices e il loro software, ma in effetti mi sono reso subito conto fosse solo un'illusione avere il controllo di qualcosa in cui ci sia del software che vi gira :-)
Amo lo sport e mi piace fare qualche corsetta durante il weekend e sono un appassionato di piante, in particolare coltivo bonsai.
Mi trovi anche su linkedin, e su facebook anche se il secondo lo uso decisamente meno
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.