防御性安全播客第233期

听众讨论

cwidlow 评论：

关于Kaseya和ConnectWise的一些后续评论。我在MSP行业工作，有许多MSP解决方案旨在管理所有客户，包括Kaseya、MSP RMM、NinjaRMM、Labteck、Autotask PSA等。这些都有提供远程系统级访问的代理，都是云连接或有面向互联网的登录门户。这在MSP中是非常标准的做法。在我们的例子中，我们有超过1000台PC和100台服务器，而我们是一个非常小的MSP提供商。

jerry 回复：

感谢提供信息。我想我对MSP如今的工作方式还不够了解。

Ron 评论：

嗨，如果你不知道的话，所有提供的源链接都热链接到了第一个链接的securityweekly网页。

jerry 回复：

谢谢！我会修复它们。

absoblogginlutely 评论：

另一个MSP在这里。虽然我们使用ConnectWise，但我们不使用Kaseya。ConnectWise处理帮助台票证、库存和资产标记，而Kaseya将是自动化服务器。两者链接，以便在输入票证时，ConnectWise中的机器配置项可以标记到Kaseya中的机器。该漏洞允许使用类似“从客户端PC表下载grandcrab.exe并在所有机器上运行”的语句对Kaseya系统运行任何命令。

ConnectWise显然通知了他们的用户，但我首先在事件爆发后听说了这个问题。几天后，我在ConnectWise中收到了一个弹出通知，告诉我存在问题并确保我已打补丁。这是他们早就应该使用的东西。

该插件是由ConnectWise编写的，因此我非常担心类似代码重用于我们可能使用的其他插件。他们的安全流程并不最好，当报告他们的Mac客户端存在中间人漏洞时，他们的回应显然是“没有其他人认为这是一个问题，所以我们不会修补它”。

jerry 回复：

感谢细节。这提出了一个很好的问题：对于不透明的插件和ConnectWise等其他软件的组件的漏洞管理。

absoblogginlutely 回复：

同意——我们在将dll加载到记事本中查看文本后，正在移除一个插件，在不透露太多信息的情况下，只能说它泄露了太多信息！

absoblogginlutely 另一点评论：

我对Proofpoint和Safelink重写感兴趣。我们有几个客户使用Proofpoint Essentials，坦率地说，它很糟糕。电子邮件限制和解析非常有限，支持又差又慢。

至于Safelink URL——如果所有链接都指向proofpoint.com，用户如何知道一个链接是否安全点击？对我来说，这似乎让用户的生活更困难。毕竟，如果计算机无法判断明显的垃圾邮件是垃圾邮件，我不确定他们的URL保护会好多少——用户对不良站点的识别必须更好，同时密码管理器确保类似URL不用于登录页面。