Virtual System/Server Administrator (VSA)

Die Schwachstelle betrifft den Kaseya Virtual System/Server Administrator (VSA) in der lokal betriebenen Variante und ermöglicht die Preisgabe von Zugangsdaten. Ursache ist eine Download-Seite, über die normalerweise die zur Installation nötigen Client-Programme bezogen werden. Diese Seite ist ohne Anmeldung erreichbar. Lädt ein Angreifer den Windows-Client herunter und installiert ihn, wird eine Konfigurationsdatei erzeugt, die eine Agent-Kennung und ein Agent-Passwort enthält. Mit diesen beiden Werten kann er sich anschließend an derselben Download-Seite anmelden; im Gegenzug erhält er eine gültige Sitzungskennung als Cookie. Mit dieser Sitzungskennung lässt sich die Authentifizierung umgehen und auf Funktionen zugreifen, die gar nicht für die Agent-Software vorgesehen sind. So verschafft sich ein unauthentifizierter Angreifer genügend Informationen, um weitere, halb-authentifizierte Angriffe gegen das System und die daran angebundenen Clients durchzuführen. Betroffen sind Organisationen, die VSA selbst betreiben.