AccueilActualités informatiqueKaseya comble des failles de sécurité parfois critiques dans Unitrend Backup

Kaseya comble des failles de sécurité parfois critiques dans Unitrend Backup

Avec les appliances de sauvegarde Unitrend, Kaseya propose des solutions de sécurité notamment pour les grandes organisations ou les fournisseurs de services gérés. Avec la mise à jour du logiciel, le fabricant comble les failles de sécurité qui auraient pu permettre à des attaquants d’introduire et d’exécuter des codes malveillants. Les administrateurs devraient appliquer les mises à jour sans délai.

Au total, la version 10.5.5 comble douze failles de sécurité ; selon Kaseya, les versions 10.0.x-10.5.4 sont concernées. La première des deux failles critiques a été ouverte par le service d’appliance de sauvegarde bpserverd d’Unitrend. Plusieurs fonctions ont transmis des entrées non fiables à des appels système. Les attaquants auraient ainsi pu exécuter du code arbitraire en tant que root (CVE-2021-43033, CVSS 9.8).

La deuxième vulnérabilité critique est une faille d’injection SQL que les attaquants pouvaient utiliser sans authentification pour exécuter des requêtes SQL arbitraires dans le contexte du compte super-utilisateur PostgreSQL. Cela permettait d’exécuter du code infiltré avec les droits de l’utilisateur PostgreSQL (CVE-2021-43035, CVSS 9.8).

Dans son rapport de sécurité, Kaseya décrit sept autres failles de niveau de gravité « élevé » et trois de niveau de risque « moyen ». Il s’agit notamment d’un débordement de tampon dans le vaultServer, qui pourrait être utilisé par un attaquant distant non authentifié pour introduire et exécuter un code malveillant (CVE-2021-43042, « élevé »). En outre, l’ancien logiciel utilisait des mots de passe faibles pour des comptes pré-identifiés tels que wguest (CVE-2021-43036, « élevé »). Une autre possibilité, l’introduction de commandes de déclenchement PostgreSQL, permettait d’obtenir des droits dans le wguest-(CVE-2021-43038, « élevé »).

L’agent Unitrend Windows était également vulnérable à l’injection de DLL et à l’implantation de codes binaires en raison d’autorisations standard non sécurisées. Les utilisateurs pouvaient ainsi étendre leurs droits jusqu’au niveau du SYSTEM (CVE-2021-43037, « élevé »). Les détails concernant les autres failles sont disponibles dans le rapport de sécurité du fabricant. Kaseya recommande aux utilisateurs d’installer immédiatement les paquets logiciels mis à jour et de mettre également à jour les agents sur les clients.

L’entreprise a fait la une des journaux en milieu d’année suite à une attaque dite de la chaîne d’approvisionnement. L’article de fond Kaseya VSA : comment les attaques de la chaîne d’approvisionnement se sont déroulées et ce qu’elles signifient pour nous fournit des détails intéressants à ce sujet.

Plus d'articles