Novinky

Útok na IT firmy: Kaseya VSA

Dne 2. července 2021 došlo k napadení stovek firem skrze monitorovací systém od společnosti Kaseya.

Společnost Kaseya používá centrálnínástroj pro správu a monitorovaní (RMM – Remote Management and Monitoring) vyvíjený pod názvem Kaseya VSA. Tento nástroj existuje jak ve verzi cloudové služby, tak i „on-prem“ instalace (tzn. instalace přímo u MSP/MSSP).

V tomto nástroji byly nalezeny kritické chyby. Ty byly nálezcem (Dutch Institute for Vulnerability Disclosure) oznámeny výrobci (Kaseya), který začal pracovat na záplatách. Bohužel chyb si všimli i kyberzločinci (REvil / Sodinokibi) a zneužili je dříve (2.7.2021), než vznikly záplaty (11.7.).

Výsledkem je 60 napadených IT firem, skrze které útočníci zašifrovali přes 1.500 jejich zákazníků (Kaseya ransomware attack: What we know now).

 

IT společnosti by se při používání RMM měli zaměřit na následující rizika a předcházet jim:

  • Omezit množství kritických systémů – co nutně nepotřebuji, nepoužívat.
  • Minimalizovat kritičnost daných systémů – spravovat tím daným systémem jen to, co potřebuji (např. jen stanice) a nepoužívané moduly vypnout.
  • Rozdělit systémy podle kritičnosti a aplikovat vhodná bezpečnostní opatření – přístupová opatření (žádná, nebo nejnižší možná oprávnění pro přístup), síťovou dostupnost (firewall, VPN, geofiltering), 2FA, EDR, AV+sanbdox (viz „Zabezpečení sítě: Tierování a PAW“).
  • Pečlivě si vybírat své partnery/dodavatele – mají větší vliv na naši bezpečnost, než si často připouštíme.

 

Citováno dne 21.07.2021. Dostupné z: Útok na IT firmy: Kaseya VSA - Martin Haller, Blog o ochraně a správě IT

MicrosoftFujitsuEpsonOKIZyXELSeyfor