{"id":256661,"date":"2021-08-13T15:42:16","date_gmt":"2021-08-13T13:42:16","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=256661"},"modified":"2021-08-14T10:09:15","modified_gmt":"2021-08-14T08:09:15","slug":"kaseya-decryption-key-aufgetaucht-backup-update-schliet-schwachstellen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/08\/13\/kaseya-decryption-key-aufgetaucht-backup-update-schliet-schwachstellen\/","title":{"rendered":"Kaseya: Decryption-Key aufgetaucht, Backup-Update schließt Schwachstellen"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Kleine Sammelmeldung zum Wochenabschluss, der den US-Anbieter Kaseya betrifft. Nach dem Lieferkettenangriff auf Kaseya RMI-Software und Verschl\u00fcsselung zahlreicher Kundensysteme ist in einem Untergrundforum ein Decryption-Key aufgetaucht. Zudem hat mich ein Blog-Leser auf ein Update hingewiesen, welches diverse Sicherheitsl\u00fccken in einem Kaseya-Produkt schlie\u00dft.<\/p>\n

<\/p>\n

Vorgeschichte zum Lieferkettenangriff<\/h2>\n

\"\"Anfang Juli 2021 gab es einen erfolgreichen Lieferkettenangriff auf Kaseya VSA. Das ist eine Remote Management und Monitoring Software (RMM), die von vielen Managed Service Providern (MSPs) verwendet wird. Durch den Lieferkettenangriff wurde Malware auf alle Kundensysteme, bei denen VSA im Einsatz war, ausgeliefert. Ich hatte hier im Blog berichtet (siehe Links am Artikelende).\"\"<\/p>\n

Die schwedische Coop-Gruppe musste sogar alle 800 Filialen schlie\u00dfen, weil ein Zahlungsabwickler vom Ransomware-Angriff auf seine Server durch die Kaseya-Schwachstelle betroffen war. Hoffnung gab es f\u00fcr Betroffene, dass die verschl\u00fcsselten Dateien gerettet werden k\u00f6nnten, weil der Hersteller ein Entschl\u00fcsselungstool erhalten hatte (siehe Kaseya hat nach Ransomware-Angriff Entschl\u00fcsselungstool erhalten<\/a>). Allerdings hatte die REvil-Gruppe, die f\u00fcr den Angriff verantwortlich zeichnete, ihre Operation eingestellt und die Infrastruktur abgeschaltet (siehe Server und Infrastruktur der REvil Ransomware-Gruppe ist abgeschaltet<\/a>).<\/p>\n

Entschl\u00fcsselungs-Key in Hackerforum<\/h2>\n

Meine letzte Information zum Kaseya-Lieferkettenangriff war, dass die Kunden eine Geheimhaltungsverpflichtung unterschreiben mussten, um in den Genuss des Entschl\u00fcsselungs-Keys zu gelangen (siehe Kaseya fordert angeblich Geheimhaltungsverpflichtung gegen Entschl\u00fcsselungstool<\/a>).<\/p>\n

\"Kaseya<\/a><\/p>\n

Nun berichten die Kollegen von Bleeping Computer in diesem Artikel<\/a>, dass der universelle Entschl\u00fcsselungs-Schl\u00fcssel f\u00fcr den REvil-Angriff auf Kaseya-Kunden in einem Hackerforen aufgetaucht sei. Die Meldung bezieht sich auf obigen Tweet<\/a> eines Sicherheitsforschers, der Bleeping Computer kontaktierte. Dieser Key funktioniert wohl nur f\u00fcr Opfer des Kaseya Hacks, und ist kein Universal-Decryptor-Key f\u00fcr andere REvil Ransomware-F\u00e4lle. Bleeping Computer war mit dem Key in der Lage, eine mit dem Kaseya-Sch\u00e4dling verschl\u00fcsselte VM wieder zu entschl\u00fcsseln. Details sind diesem Artikel<\/a> zu entnehmen.<\/p>\n

Unitrends Backup Software Update 10.5.5<\/h2>\n

Blog-Leser Stefan A. hat mich per Mail darauf hingewiesen, dass es das Update 10.5.5 f\u00fcr die Unitrends Backup Software von Kaseya gibt. Die Release Notes<\/a> f\u00fchren aus, dass einige Schwachstellen (z.B. SQL-Injection, Privilege Escalation etc.) beseitigt wurden, welche von der Dutch Institute for Vulnerability Disclosure (DIVD) entdeckt wurden.<\/p>\n

\u00c4hnlich wie Stefan in seiner Mail erw\u00e4hnte, bin ich Ende Juli 2021 auch \u00fcber diesen Artikel<\/a> auf Bleeping Computer gestolpert. Dort mahnten Sicherheitsforscher vor ungepatchten Kaseya Unitrends Backup-Sicherheitsl\u00fccken. Stefan schreibt dazu:<\/p>\n

Ich bin hierzu schon vor einiger Zeit bei Bleeping Computer<\/a> dar\u00fcber gestolpert. Allerdings bin ich nie so wirklich schlau geworden aus der Warnung. Denn in der Warnung hei\u00dft es, dass Versionen kleiner als 10.5.2 betroffen sind. Aber zum Zeitpunkt war schon die Version 10.5.4 drau\u00dfen. Zeitgleich hie\u00df es aber, dass es hierf\u00fcr noch kein Update gibt (siehe<\/a>). Wie auch immer, nun hat sich wohl etwas getan.<\/p>\n

Vllt. hat der eine oder andere Leser die Software im Einsatz und sie k\u00f6nnten einfach mal kurz darauf hinweien.<\/p><\/blockquote>\n

An dieser Stelle mein Dank an Stefan f\u00fcr die Information. Falls jemand von euch die Kaseya Software im Einsatz hat, mal nachschauen, ob die in aktueller Form vorliegt.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nREvil Ransomware-Befall bei 200 Firmen \u00fcber Kaseya VSA und Management Service Provider (MSP)<\/a>
\nCoop-Schweden schlie\u00dft 800 Gesch\u00e4fte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang<\/a>
\nNeues zum Kaseya VSA-Lieferkettenangriff und zum Coop-Schweden-Fall<\/a>
\nKaseya-Hack betrifft weltweit 1.500 Firmen, auch in Deutschland<\/a>
\nNachbereitung zum Kaseya-Lieferkettenangriff<\/a>
\nKaseya hat nach Ransomware-Angriff Entschl\u00fcsselungstool erhalten<\/a>
\nKaseya fordert angeblich Geheimhaltungsverpflichtung gegen Entschl\u00fcsselungstool<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Kleine Sammelmeldung zum Wochenabschluss, der den US-Anbieter Kaseya betrifft. Nach dem Lieferkettenangriff auf Kaseya RMI-Software und Verschl\u00fcsselung zahlreicher Kundensysteme ist in einem Untergrundforum ein Decryption-Key aufgetaucht. Zudem hat mich ein Blog-Leser auf ein Update hingewiesen, welches diverse Sicherheitsl\u00fccken in einem … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,185],"tags":[4328,3836,4315],"class_list":["post-256661","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-update","tag-sicherheit","tag-software","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256661","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=256661"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256661\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=256661"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=256661"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=256661"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}