Nieuws

Kaseya: geen sprake van supply-chain-aanval, broncode niet aangepast

dinsdag 6 juli 2021, 11:25 door Redactie, 11 reacties

De aanvallers achter de wereldwijde ransomware-aanval via de software van Kaseya hebben geen toegang tot de broncode van het bedrijf gehad of bijvoorbeeld de updateservers gebruikt om hun ransomware te verspreiden. Er is dan ook geen sprake van een supply-chain-aanval. Dat stelt Kaseya op basis van onderzoek.

Volgens het bedrijf hebben de aanvallers gebruik gemaakt van verschillende zerodaylekken in Kaseya VSA. Hierdoor konden ze de authenticatie omzeilen en willekeurige commando's op de VSA-servers van managed serviceproviders (MSP's) uitvoeren. Vervolgens hebben de aanvallers de standaard functionaliteit van Kaseya gebruikt om ransomware bij de klanten van MSP's te installeren.

Managed serviceproviders (MSP's) gebruiken Kaseya VSA voor het beheren van de systemen van hun klanten. Via VSA hebben MSP's dan ook op afstand toegang tot deze systemen. Nadat de aanvallers de VSA-servers van managed serviceproviders hadden gecompromitteerd konden ze probleemloos de systemen van klanten aanvallen. Voor zover nu bekend zijn er minder dan vijftienhonderd "downstream businesses" op deze manier getroffen.

"We weten dat er veel informatie over dit incident rondgaat. Een deel klopt, maar heel veel niet", aldus Kaseya, dat zegt met meer informatie te zullen komen als dit beschikbaar komt.

Vier miljoen Nederlanders kunnen geen digitaal zaken doen met de overheid

Knops: geen bezwaar tegen gebruik van WordPress voor overheidssites

Reacties (11)

06-07-2021, 11:37 door Power2All

Aha, dus mijn vermoeden was dus toch waar.
Had hier een discussie over met mijn collega, maar die zei dat het via hun eigen deployment servers als update op de systemen terecht gekomen waren.
Maar nu schijnt dus dat die Kaseya VSA software dus lekker open voor alle publiek staan op internet ?
Dat is best wel slechte beveiliging, op zijn minst een firewall toepassen die alleen bepaalde IP ranges toestaan te laten connecten, zou al een heleboel zooi tegenhouden...
Beetje hetzelfde als RDP van Windows publiekelijk toegankelijk hebben, en raar opkijken dat je gehacked wordt door zero day exploits erin.

06-07-2021, 11:38 door Anoniem

Waarom hangen die VSA servers direct aan het internet? Men zou als Managed Service Provider een VPN tunnel naar elke klant kunnen maken. Met OpenVPN en ingebakken (MS) virtualisatie is het kosten argument ook niet meer aanwezig.

Leuk dat alle instanties weer lopen te miepen over ransomeware en Bitcoin. Het echte probleem is weer eens gebrekkig beheer / vulnerability management.

06-07-2021, 11:39 door MrMerlin

Bijzonder:

A supply chain attack is a cyber-attack that seeks to damage an organization by targeting less-secure elements in the supply chain.

Volgens mij is door het gebruik maken van de zeroday in Kaseya VSA de MSP aangevallen en via de supply-chain uiteindelijk de eindklanten van deze MSP's.

Of de broncode nu wel of niet aangepast is, is volgens mij geen onderdeel van de vraag of dit een supply-chain aanval was.

06-07-2021, 11:54 door Anoniem

Door MrMerlin: Bijzonder:

A supply chain attack is a cyber-attack that seeks to damage an organization by targeting less-secure elements in the supply chain.

Volgens mij is door het gebruik maken van de zeroday in Kaseya VSA de MSP aangevallen en via de supply-chain uiteindelijk de eindklanten van deze MSP's.

Of de broncode nu wel of niet aangepast is, is volgens mij geen onderdeel van de vraag of dit een supply-chain aanval was.

Dit... het is zeker wel een supply-chain attack

06-07-2021, 14:03 door Anoniem

Door Anoniem: Waarom hangen die VSA servers direct aan het internet? Men zou als Managed Service Provider een VPN tunnel naar elke klant kunnen maken. Met OpenVPN en ingebakken (MS) virtualisatie is het kosten argument ook niet meer aanwezig.

Tegenwoordig is het hip om totaal zonder klantinfra te werken. Dwz er is geen "netwerk van de klant" maar de klant werkt
volledig in de cloud en op kantoor is er gewoon een internet toegangsnetwerk waar zowel de apparatuur van de klant
als allerlei gast toegang op zit.
Plus dat medewerkers van de klant ook thuis kunnen zitten (dat wordt veel gemakkelijker als je het allemaal zo inricht).
Een "VPN naar de klant" verliest zo een beetje de betekenis.

06-07-2021, 14:04 door Power2All

Er zijn direct lekken in VSP misbruikt, waarschijnlijk buffer-overflows oid, en tja, dan kun je remote data executen, en dan heeft het niks met supply chains te maken. Het zijn remote control apps, die als ik het zo lees, zonder firewall op internet zaten.

06-07-2021, 14:57 door Anoniem

Vanuit Kaseya gezien is er helemaal geen supply chain attack. Hun systemen zijn niet gebruikt om hun klanten (MSP's) aan te vallen.

En gezien de relatie van VSA tussen MSP's en hun klanten kun je idd afvragen of dat dan wel een supply chain attack is. Dan zou je ook ransomware infecties via bijvoorbeeld RDP een supply chain attack kunnen noemen....

06-07-2021, 16:25 door karma4

Kaseya software zelf is/was lek. De VSA servers moesten asap uit. Dit is de acties voor de MSP-ers
De MSP's zitten wel degelijk in de supply-chain voor vele afnemers. Daarom is het effect zo groot.

Voor Kaseya software in de supply zouden via de leveranciers(Kaseya) veel meer en hogere eisen aan de afscherming gesteld moeten worden.
- Open VSA server op het publieke iternet, onbegrijpeiijk.
- automatische updates vanuit de VSA servers zonder tweede/derder factor, onbegrijpelijk

06-07-2021, 16:28 door Anoniem

Vanuit het perspectief van Kadeya naar de MSPs is het geen supply-chain aanval. De servers van de leverancier Kaseya zijn immers niet gebruikt in de aanval.

Vanuit het perspectief van de klanten van de MSPs is het wél een supply-chain aanval. De servers van hun leverancier zijn immers gebruikt om op andere bedrijfsnetwerken binnen te dringen.

06-07-2021, 17:24 door Anoniem

Dit is echt verschrikkelijk 'symantics'...

"onze servers zijn niet gebruikt voor de aanval, dus is het geen supply chain attack"...

Dat is net zo duf als zeggen 'ik heb niemand vermoord, het waren de kogels uit mijn AR-15 Beowulf 0.50'...
Grappig als Microsoft zou zeggen 'het zijn helemaal geen Windows 2019 servers... het zijn HP Proliant DL350 G10 machines, geen Windows servers..."...

Ze komen naar buiten als er meer informatie is... Ja, zeker van die 120 nieuwe marketing mensen..

06-07-2021, 20:06 door Anoniem

Maar dll hijacking is stille very much alive and kicking.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Vacature

Information Security Officer (2fte)

Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.

Lees meer

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Kaseya: geen sprake van supply-chain-aanval, broncode niet aangepast

Pick one:

Wachtwoord Vergeten

Password Reset

Registreren