Gestione IT

Vulnerabilità in Kaseya: come risolvere

25 Marzo 2014

Se hai meno di 60 secondi

 
Problema: è stata scoperta una vulnerabilità in Kaseya.
Soluzione: esiste già una patch pronta da scaricare.
 
  • Kaseya 6.5 (patch 6.5.0.9): lanciare l’installer abilitando le patch, come descritto qui.
  • Kaseya 6.3 (patch 6.3.6, hotifix #8813), maggiori informazioni.
  • Versioni precedenti: cancellare l’account “kaseyasupport” e non abilitarlo finché non si è aggiornato Kaseya con l’ultima release e l’ultima patch.

Verificare se è stata sfruttata la vulnerabilità: eseguire un audit su tuttti gli endpoint e creare un filtro per l’eseguibile SoftwareUpdate.exe versione 1.0.0.0.
Se alcune macchine sono state infettate è necessario ripulire i sistemi come descritto qui.


Se hai più di 60 secondi
 
Introduzione
 
Parecchie installazioni di Kaseya sono state oggetto di attacchi per distribuire il malware Litecoin.
Sfruttando gli script di Kaseya l’attacco fraudolento ha come scopo distribuire il software per generare denaro digitale.
Il malware in oggetto non pare danneggiare i dati né prelevare dati personali.

Informazioni sul malware
 
  • Macchine potenzialmente colpite: sistemi Windows.
  • Il malware si chiama Litecoin e si nasconde dietro il nome dell’eseguibile SoftwareUpdate.exe, versione 1.0.0.0 e la descrizione è "Apple Software Update".
  • Attenzione ai falsi positivi perché versioni diverse da 1.0.0.0 sono software legittimi.
  • Per verificare se i propri sistemi sono stati colpiti è necessario verificare la presenza del file del punto precedente.

Soluzione
 
Kaseya ha già rilasciato le patch per le installazioni di Kaseya 6.5 e Kaseya 6.3.
  • Kaseya 6.5 (patch 6.5.0.9): lanciare l’installer abilitando le patch, come descritto qui.
  • Kaseya 6.3 (patch 6.3.6, hotifix #8813), maggiori informazioni.
  • Versioni precedenti: cancellare l’account “kaseyasupport” e non abilitarlo finché non si è aggiornato Kaseya con l’ultima release e l’ultima patch.

Come verificare se il malware ha colpito i propri PC
 
Per verificare se i propri sistemi sono stai colpiti dal malware in questione occorre eseguire un inventario aggiornato delle proprie macchine e verificare se esiste un eseguibile dal nome SoftwareUpdate.exe in versione 1.0.0.0.
Se tale software esiste è necessario rimuoverlo da ogni macchina.
La procedura passo passo per capire se le proprie macchine sono state infettate è disponibile qui, insieme allo script Kaseya da lanciare per rimuovere il malware.
Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.