Avec les appliances de sauvegarde Unitrend, Kaseya propose des solutions de sécurité notamment pour les grandes organisations ou les fournisseurs de services gérés. Avec la mise à jour du logiciel, le fabricant comble les failles de sécurité qui auraient pu permettre à des attaquants d’introduire et d’exécuter des codes malveillants. Les administrateurs devraient appliquer les mises à jour sans délai.
Au total, la version 10.5.5 comble douze failles de sécurité ; selon Kaseya, les versions 10.0.x-10.5.4 sont concernées. La première des deux failles critiques a été ouverte par le service d’appliance de sauvegarde bpserverd d’Unitrend. Plusieurs fonctions ont transmis des entrées non fiables à des appels système. Les attaquants auraient ainsi pu exécuter du code arbitraire en tant que root (CVE-2021-43033, CVSS 9.8).
La deuxième vulnérabilité critique est une faille d’injection SQL que les attaquants pouvaient utiliser sans authentification pour exécuter des requêtes SQL arbitraires dans le contexte du compte super-utilisateur PostgreSQL. Cela permettait d’exécuter du code infiltré avec les droits de l’utilisateur PostgreSQL (CVE-2021-43035, CVSS 9.8).
Autres failles de sécurité
Dans son rapport de sécurité, Kaseya décrit sept autres failles de niveau de gravité « élevé » et trois de niveau de risque « moyen ». Il s’agit notamment d’un débordement de tampon dans le vaultServer, qui pourrait être utilisé par un attaquant distant non authentifié pour introduire et exécuter un code malveillant (CVE-2021-43042, « élevé »). En outre, l’ancien logiciel utilisait des mots de passe faibles pour des comptes pré-identifiés tels que wguest
(CVE-2021-43036, « élevé »). Une autre possibilité, l’introduction de commandes de déclenchement PostgreSQL, permettait d’obtenir des droits dans le wguest
-(CVE-2021-43038, « élevé »).
L’agent Unitrend Windows était également vulnérable à l’injection de DLL et à l’implantation de code binaire (c’est-à-dire l’insertion de code étranger) en raison d’autorisations standard non sécurisées. Les utilisateurs pouvaient ainsi étendre leurs droits jusqu’au niveau du SYSTEM (CVE-2021-43037, « élevé »). Les détails concernant les autres failles sont disponibles dans le rapport de sécurité du fabricant. Kaseya recommande aux utilisateurs d’installer immédiatement les paquets logiciels mis à jour et de mettre également à jour les agents sur les clients.
L’entreprise a fait la une des journaux en milieu d’année suite à une attaque dite de la chaîne d’approvisionnement. L’article de fond Kaseya VSA : comment les attaques de la chaîne d’approvisionnement se sont déroulées et ce qu’elles signifient pour nous fournit des détails intéressants à ce sujet.