Vorige week verspreidden cybercriminelen ransomware naar 1500 organisaties, waaronder vele die IT-beveiliging en technische ondersteuning bieden aan andere bedrijven. De aanvallers maakten misbruik van een kwetsbaarheid in het Min.-programma gedrapeerd, een in Miami gevestigd bedrijf wiens producten systeembeheerders helpen bij het op afstand beheren van grote netwerken. Nu lijkt het klantenserviceportaal van Kaseya tot vorige week kwetsbaar te zijn gebleven vanwege een beveiligingslek met betrekking tot datalekken dat zes jaar geleden voor het eerst werd ontdekt in dezelfde software.
Op 3 juli a REvil ransomware affiliate programma Begonnen met een zero-day kwetsbaarheid (CVE-2021-30116) om ransomware te verspreiden onder honderden IT-beheerbedrijven die Kaseya Remote Management Software gebruiken – bekend als Virtuele systeembeheerder van Kaseya (VSA).
naar mij Dit bericht is voor CVE-2021-30116, de beveiligingsfout die aangeeft dat Kaseya VSA op 2 april 2021 een zero-day kwetsbaarheidsnummer kreeg toegewezen, wat aangeeft dat Kaseya Hij had bijna drie maanden om de bug te verwerken voordat deze in het wild werd uitgebuit.
Ook op 3 juli, reactiebedrijf voor beveiligingsincidenten Mandiant Kaseya liet weten dat hun site voor facturering en klantenondersteuning –portal.kaseya.net – was vatbaar voor CVE-2015-2862Een “directory traversal”-kwetsbaarheid in Kaseya VSA waarmee externe gebruikers alle bestanden op de server kunnen lezen met alleen een webbrowser.
Zoals de naam al doet vermoeden, werd CVE-2015-2862 uitgebracht in juli 2015. Zes jaar later was het klantenportaal van Kaseya nog steeds kwetsbaar voor een kwetsbaarheid voor datalekken.
Klantenondersteuning en factureringsportal van Kaseya. Foto: Archive.org.
Mandiant informeerde Cassie nadat hij over haar had gehoord Alex Holden, oprichter en chief technology officer van de in Milwaukee gevestigde Electronic Intelligence beveiligingscontract. Holden zei dat de kwetsbaarheid van 2015 tot zaterdagmiddag aanwezig was op het klantenportaal van Kaseya, waardoor hij de site kon downloaden. web.config-bestand, een servercomponent die vaak gevoelige informatie bevat, zoals gebruikersnamen, wachtwoorden en de locaties van grote databases.
“Het is niet alsof ze zijn vergeten iets te repareren dat Microsoft jaren geleden heeft opgelost”, zei Holden. “Het is een patch voor hun eigen software. Geen zero-day. Het is van 2015!”
De officiële beschrijving van CVE-2015-2862 zegt dat een potentiële aanvaller zich daadwerkelijk bij de server moet authenticeren om de exploit te laten werken. Maar Holden zei dat dat niet het geval is met de kwetsbaarheid op de Kaseya-portal die hij via Mandiant meldde.
“Dit is erger omdat de CVE een geautoriseerde gebruiker belt”, zei Holden. “Dit was niet.”
Michael SandersKaseya’s Executive Vice President Account Management bevestigde dat de verbinding met de klantportal was verbroken als reactie op een kwetsbaarheidsrapport. Sanders zei dat de portal in 2018 werd stopgezet ten gunste van een moderner klantenondersteunings- en ticketingsysteem, maar op de een of andere manier was de oude site nog steeds online beschikbaar.
“Het werd verwaarloosd, maar het bleef staan”, zei Sanders.
In een schriftelijke verklaring die werd gedeeld met KrebsOnSecurity, zei Kaseya dat CERT in 2015 twee kwetsbaarheden in zijn VSA-product meldde.
“We hebben met CERT gewerkt aan verantwoorde openbaarmaking en hebben patches uitgebracht voor VSA-, R8-, R9- en R9-versies, samen met openbare openbaarmakingen (CVE’s) en kennisgevingen aan onze klanten. Ons team beschouwde Portal.kaseya.net niet als onderdeel van de VSA verzonden product en maakte geen deel uit van de VSA-productpatch. In 2015. Het heeft geen toegang tot eindpunten van klanten en is afgesloten – en zal niet langer worden ingeschakeld of gebruikt door Kaseya. “
“Momenteel is er geen bewijs dat dit portaal betrokken was bij een VSA-productbeveiligingsincident”, vervolgt de verklaring. “We blijven forensische analyses op het systeem uitvoeren en onderzoeken reeds bestaande gegevens.”
De REvil ransomware-groep zei dat getroffen organisaties onafhankelijk met hen konden onderhandelen over een decoderingssleutel, of dat iedereen $ 70 miljoen in virtuele valuta zou kunnen betalen om een sleutel te kopen die alle systemen decodeert die bij deze aanval zijn aangetast.
Maar Sanders zei dat elke tot nu toe geraadpleegde ransomware-expert adviseerde om niet te onderhandelen over een enkel losgeld om alle slachtoffers te ontgrendelen.
“Het probleem is dat ze onze gegevens niet hebben, ze hebben de gegevens van onze klanten”, zei Sanders. “We hebben het advies gekregen om dit niet te doen door elk ransomware-onderhandelingsbedrijf waarmee we te maken hebben gehad. Ze zeiden dat het met het aantal gecompromitteerde individuele apparaten en ransomware erg moeilijk zou zijn om al deze systemen tegelijk aan te pakken.”
In een video die op 6 juli op YouTube werd geplaatst, zei CEO van Kaseya Fred Fukola Hij zei dat de ransomware-aanval een “beperkt effect had, waarbij slechts ongeveer 50 van de meer dan 35.000 klanten van Cassie werden gecompromitteerd”.
“Hoewel elke klant die hierdoor wordt getroffen een zeer groot aantal is, is de impact van deze zeer geavanceerde aanval gelukkig enorm overdreven gebleken”, zei Fukola.
De zero-day kwetsbaarheid die ertoe leidde dat Kaseya-klanten (en klanten van die klanten) losgeld ontvingen, werd ontdekt en gerapporteerd aan Kaseya Wiets Boonstra, een onderzoeker met Nederlands Instituut voor Kwetsbaarheidsdetectie (DIVD).
Bij Blogpost op 4 juliDIVD’s Victor Jeffers Hij schreef dat Cassie “zeer behulpzaam” was en “de juiste vragen stelde”.
“Er zijn ook gedeeltelijke patches met ons gedeeld om hun effectiviteit te verifiëren”, schreef Gevers. “Gedurende het hele proces toonde Kaseya zijn bereidheid om in dit geval de grootst mogelijke inspanning en initiatief te leveren om dit probleem op te lossen en de klanten te repareren. Ze toonden een echte toewijding om het juiste te doen. Helaas werden we verslagen door REvil in de laatste race, waar ze kwetsbaarheden kunnen misbruiken voordat de klanten zelfs maar kunnen corrigeren.”
Kaseya heeft echter nog geen officiële patch uitgebracht voor de fout die Boonstra in april meldde. gedrapeerd Voor klanten op 7 juli Het werkte “de hele nacht” om de update te plaatsen.
Gevers zei dat de Kaseya-kwetsbaarheid werd ontdekt als onderdeel van een grotere DIVD-inspanning om te zoeken naar kritieke fouten in een breed scala aan externe netwerkbeheertools.
“We richten ons op dit soort producten omdat we een trend hebben ontdekt waarbij steeds meer producten worden gebruikt om de netwerkbeveiliging te handhaven en structurele kwetsbaarheden opduiken”, schreef hij.
‘Webgeek. Wannabe-denker. Lezer. Freelance reisevangelist. Liefhebber van popcultuur. Gecertificeerde muziekwetenschapper.’
