CVE-2017-18362

Kaseya Virtual System/Server Administrator (VSA)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-05-24

Официальное описание

ConnectWise ManagedITSync integration for Kaseya VSA is vulnerable to unauthenticated remote commands that allow full direct access to the Kaseya VSA database.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в модуле интеграции ConnectWise ManagedITSync для Kaseya VSA позволяет неавторизованному удаленному злоумышленнику выполнять произвольные SQL-команды напрямую в базе данных VSA. Это происходит через специально сформированные HTTP-запросы к уязвимому компоненту.

  • Вектор атаки: Сеть.
  • Сложность эксплуатации: Низкая.
  • Последствия: Полный доступ на чтение и запись к базе данных Kaseya VSA, что может привести к компрометации всей системы управления, хищению учетных данных, установке вредоносного ПО на управляемые хосты.

Как исправить

Установите официальный патч от Kaseya. Уязвимость устранена в следующих версиях VSA:

  • Для VSA 9.x: Установите обновление до версии 9.4.0.5 или выше.
  • Для VSA 8.x: Установите обновление до версии 8.0.0.18 или выше.

Порядок действий: 1. Войдите в панель управления Kaseya VSA с правами администратора. 2. Перейдите в раздел обновлений системы. 3. Убедитесь, что установлена одна из указанных выше версий. Если нет — запланируйте и установите соответствующее обновление. 4. После обновления обязательно перезапустите службы VSA.

# Пример команд для перезапуска служб на Windows (выполнять от имени администратора):
net stop "Kaseya Server"
net start "Kaseya Server"

# На Linux (пути и имена служб могут отличаться):
sudo systemctl restart kaseya

Временное решение

Если немедленная установка патча невозможна, выполните следующие действия для снижения риска:

  1. Ограничьте сетевой доступ: Настройте межсетевой экран (брандмауэр) так, чтобы доступ к портам веб-интерфейса Kaseya VSA (по умолчанию TCP/80 и TCP/443) был разрешен только с доверенных IP-адресов (например, из внутренней сети администраторов или VPN). bash # Пример правила iptables для Linux, разрешающего доступ только с сети 192.168.1.0/24 sudo iptables -A INPUT -p tcp --dport 443 -s 192.168.1.0/24 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 443 -j DROP

  2. Настройте WAF (Web Application Firewall): Разместите перед сервером VSA WAF (например, ModSecurity) и активируйте правила для блокировки SQL-инъекций и аномальных запросов к путям, связанным с интеграцией (/ManagedITSync/).

  3. Временно отключите модуль: Если интеграция ConnectWise ManagedITSync не используется, полностью отключите или удалите этот модуль через панель управления VSA.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей