CVE-2021-30116

Versões do Kaseya VSA anteriores à 9.5.7

A vulnerabilidade diz respeito a um problema de divulgação de credenciais no Kaseya VSA, que foi explorado em julho de 2021. Por padrão, o Kaseya VSA on-premise oferece uma página de download no URL https://x.x.x.x/dl.asp, onde os clientes para instalação podem ser baixados. Quando um invasor baixa um cliente para Windows e o instala, é gerado um arquivo chamado KaseyaD.ini, contendo um Agent Guid e uma AgentPassword. Essas credenciais podem ser usadas para fazer login em dl.asp e obter um cookie sessionId, que pode ser usado em ataques subsequentes para contornar a autenticação. A vulnerabilidade permite que um invasor penetre na instalação do Kaseya e em seus clientes. Aproximadamente 1.500 dispositivos foram afetados por este problema.

Para versões anteriores à 9.5.7, atualize para a versão 9.5.7 ou posterior para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso à página dl.asp para minimizar o risco de exploração.

Evite usar as credenciais Agent Guid e AgentPassword no endpoint da API afetado até que o problema seja resolvido.

Restrinja o acesso ao arquivo KaseyaD.ini para impedir que invasores obtenham informações confidenciais.