Kaseya bietet mit Unitrend Backup Appliances Sicherheitslösungen insbesondere für größere Organisationen oder Managed Service Provider an. Mit aktualisierter Software schließt der Hersteller Sicherheitslücken darin, durch die Angreifer sogar beliebigen Schadcode einschleusen und ausführen hätten können. Administratoren sollten die Updates umgehend einspielen. Insgesamt zwölf Sicherheitslücken schließt Version 10.5.5; betroffen sind Kaseya zufolge die Versionen 10.0.x-10.5.4. Die erste von zwei kritischen Lücke riss der Unitrend-Backup-Appliance-Dienst bpserverd auf. Mehrere Funktionen darin haben nicht vertrauenswürdige Eingaben an Systemaufrufe durchgereicht. Angreifer hätten damit beliebigen Code als root ausführen können (CVE-2021-43033, CVSS 9.8). Bei der zweiten kritischen Schwachstellen handelt es sich um eine SQL-Injection-Lücke, die Angreifer ohne Authentifizierung missbrauchen konnten, um beliebige SQL-Anfragen auszuführen – im Kontext des PostgreSQL-Super-User-Kontos. Dadurch war das Ausführen eingeschleusten Codes mit den Rechten des PostgreSQL-Nutzers möglich (CVE-2021-43035, CVSS 9.8). Sieben weitere Lücken mit Schweregrad „hoch“ sowie drei mit der Gewichtung „mittleres Risiko“ beschreibt Kaseya in seiner Sicherheitsmeldung. Darunter fallen etwa ein Pufferüberlauf im vaultServer, den ein entfernter, unauthentifizierte Angreifer zum Einschleusen und Ausführen von Schadcode missbrauchen könnte (CVE-2021-43042, „hoch“). Zudem verwendete die alte Software schwache Passwörter für voreingerichtete Konten wie wguest
(CVE-2021-43036, „hoch“). Durch eine weitere Möglichkeit, PostgreSQL-Trigger-Kommandos einzuschleusen, ließen sich die Rechte im wguest
-Kontext zudem zum PostgreSQL-Super-User ausweiten (CVE-2021-43038, „hoch“). Weiter war der Unitrend Windows Agent anfällig für eine sogenannte DLL Injection und sogenanntes Binary Planting (also dem Unterschieben fremden Codes) aufgrund von unsicheren Standardberechtigungen. Nutzer konnten so ihre Rechte bis zur SYSTEM-Ebene ausweiten (CVE-2021-43037, „hoch“). Details zu den weiteren Lücken finden sich in der Sicherheitsmeldung des Herstellers. Kaseya empfiehlt, dass Nutzer umgehend die aktualisierten Softwarepakete einspielen und die Agents auf den Clients ebenfalls auf den aktuellen Stand bringen. Das Unternehmen geriet Mitte des Jahres durch einen sogenannten Lieferketten-Angriff in die Schlagzeilen. Der Hintergrundartikel Kaseya VSA: Wie die Lieferketten-Angriffe abliefen und was sie für uns bedeuten liefert dazu interessante Details.