Суть уязвимости

Неавторизованный удаленный злоумышленник может отправить специально сформированный HTTP-запрос к веб-интерфейсу сервера Kaseya VSA. Это позволяет выполнить произвольные команды PowerShell на всех управляемых агентами устройствах (рабочих станциях и серверах), что ведет к полному компрометированию инфраструктуры.

Как исправить

Установите официальный патч от Kaseya. Уязвимость устранена в следующих версиях: * VSA 9.4.0.22 (для версий 9.4.x) * VSA 9.5.0.25 (для версий 9.5.x)

Порядок действий: 1. Скачайте патч с портала поддержки Kaseya. 2. Остановите все службы Kaseya VSA на сервере. 3. Запустите установщик патча от имени администратора. 4. Перезагрузите сервер VSA.

Для проверки установленной версии: 1. Войдите в веб-интерфейс VSA. 2. Перейдите в раздел Help > About. 3. Убедитесь, что номер версии соответствует или новее указанных выше.

Временное решение

Если немедленная установка патча невозможна, выполните следующие действия для снижения риска:

1. Ограничьте сетевой доступ к серверу VSA:

   • Настройте брандмауэр (например, iptables на Linux или Windows Firewall) так, чтобы доступ к портам веб-интерфейса VSA (по умолчанию TCP/80 и TCP/443) был разрешен только с доверенных IP-адресов (адресов вашей сети, VPN). ```bash

   Пример для iptables (Linux) - разрешить только из сети 10.0.0.0/24

   iptables -A INPUT -p tcp --dport 443 -s 10.0.0.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j DROP ```

2. Настройте WAF (Web Application Firewall):

   • Если используется WAF (например, ModSecurity, облачный WAF), добавьте правило для блокировки HTTP-запросов, содержащих в теле или параметрах строки, характерные для эксплуатации этой уязвимости (например, powershell.exe, -EncodedCommand, Invoke-Expression).

3. Повысьте мониторинг:

   • Включите детальное аудитологирование на сервере VSA.
   • Настройте SIEM-систему на оповещение о любых подозрительных событиях, связанных с запуском powershell.exe с необычными параметрами на управляемых агентами устройствах.