Специалисты Голландского института раскрытия уязвимостей (DIVD) сообщили, что выявили три 0-day уязвимости в продукте для резервного копирования Kaseya Unitrends.
Kaseya Unitrends представляет собой облачное корпоративное решение для резервного копирования и аварийного восстановления, которое предлагается как автономный продукт или в качестве аддона для платформы Kaseya VSA.
Председатель DIVD Виктор Геверс рассказал изданию Bleeping Computer, что информация об этих проблемах была передана 68 правительственным CERT, но один из получателей загрузил данные на аналитическую сетевую платформу, где они стали доступны для всех, кто имел доступ к сервису.
В итоге представители DIVD решили публично сообщить о багах, обнаруженных в Kaseya Unitrends (в версиях вплоть до 10.5.2). Неисправленные уязвимости связаны с удаленным выполнением кода (после аутентификации), повышением привилегий (после аутентификации), а также с удаленным выполнением кода (без аутентификации) на стороне клиента. Теперь исследователи предупреждают, что сервис и клиенты (особенно работающие на дефолтных портах 80, 443, 1743, 1745) лучше временно изолировать от интернета.
К счастью, использовать эти проблемы намного сложнее, чем RCE-уязвимость в Kaseya VSA, которую совсем недавно эксплуатировали операторы вымогателя REvil. Дело в том, что в случае Kaseya Unitrends злоумышленнику потребуется захватить или создать действующую учетную запись пользователя для удаленного выполнения кода или повышения привилегий. Чтобы воспользоваться неаутентифицированным RCE в клиенте и вовсе придется заранее проникнуть в сеть компании.
Геверс говорит, что количество уязвимых установок Kaseya Unitrends, доступных в интернете, невелико, однако они были обнаружены в критически важных отраслях.
