Virtual System/Server Administrator (VSA)

Die Schwachstelle betrifft die ManagedITSync-Integration von ConnectWise für die Fernwartungssoftware Virtual System/Server Administrator (VSA) von Kaseya. Über die im Web-Interface erreichbare Schnittstelle ManagedIT.asmx kann jeder, der die Seite aufrufen kann, ohne jede Anmeldung beliebige SQL-Befehle an die VSA-Datenbank schicken – sowohl lesend als auch schreibend. Damit erhält ein unauthentifizierter Angreifer aus der Ferne vollständigen direkten Zugriff auf die zentrale Datenbank des VSA-Servers. Besonders schwer wiegt, dass VSA der Fernverwaltung ganzer Geräteflotten dient: Wer die Datenbank kontrolliert, kann auf sämtliche vom Server verwalteten Endgeräte durchgreifen. Genau das wurde in freier Wildbahn ausgenutzt, um Schadsoftware auf allen über den VSA-Server verwalteten Systemen herunterzuladen und auszuführen und sie so flächendeckend mit Erpressungstrojanern zu verschlüsseln. Betroffen sind Umgebungen, in denen die anfällige Integration über die VSA-Weboberfläche erreichbar ist.