CVE-2021-30116

Суть уязвимости

Злоумышленник может получить доступ к значению sessionId активного пользователя через уязвимый компонент Kaseya VSA. Скомпрометированный sessionId позволяет выполнять действия от имени легитимного пользователя без необходимости аутентификации, что может привести к несанкционированному доступу к данным и управлению системой.

Как исправить

Установите официальный патч от Kaseya, который устраняет эту уязвимость.

1. Для VSA On-Premises:

   • Обновите систему до версии 9.5.7.2994 или выше.
   • Скачайте патч с портала поддержки Kaseya и следуйте официальным инструкциям по обновлению.

2. Для VSA SaaS:

   • Уязвимость была устранена Kaseya на стороне облачной инфраструктуры. Дополнительных действий не требуется.

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

1. Ограничьте сетевой доступ:

   • Настройте межсетевой экран (Firewall) или группы безопасности (Security Groups) так, чтобы доступ к портам веб-интерфейса Kaseya VSA (обычно 443/TCP) был разрешен только с доверенных IP-адресов (например, из внутренней сети компании или VPN).

2. Настройте WAF (Web Application Firewall):

   • Активируйте правила для блокировки аномальных или подозрительных запросов к пути, связанному с уязвимым компонентом.
   • Пример правила для ModSecurity (конкретный путь уточните в рекомендациях Kaseya): apache SecRule REQUEST_URI "@contains /api/path/to/vulnerable/endpoint" "id:1001,phase:1,deny,status:403,msg:'Blocking access to vulnerable Kaseya endpoint'"

3. Усильте мониторинг:

   • Включите детальное логирование всех успешных и неуспешных попыток аутентификации и сессий в Kaseya VSA.
   • Настройте SIEM-систему на оповещение о множественных неудачных попытках доступа или необычной активности сессий (например, несколько сессий с одного sessionId с разных IP-адресов).