image

Kaseya lekte wachtwoord voor clients via bestand op downloadpagina

maandag 4 april 2022, 12:53 door Redactie, 2 reacties

De wereldwijde ransomware-aanval via de software van Kaseya was mede mogelijk omdat via de downloadpagina van VSA-servers een bestand was te downloaden waarmee aanvallers als client konden inloggen. Er was echter een andere kwetsbaarheid die de aanval door de REvil-ransomware nog effectiever en efficiënter zou hebben gemaakt. Dat laat het DIVD (Dutch Institute for Vulnerability Disclosure) vandaag weten.

Managed serviceproviders (MSP's) gebruiken VSA om de systemen van hun klanten op afstand te beheren. MSP's kunnen VSA op hun eigen servers installeren of de SaaS-omgeving van Kaseya gebruiken. Vorig jaar gebruikten criminelen achter de REvil-ransomware twee kwetsbaarheden in VSA om ransomware bij de klanten van MSP's uit te rollen. Volgens Kaseya raakten op deze manier tot vijftienhonderd organisaties wereldwijd besmet met de ransomware.

De aanvallers eisten 70 miljoen dollar losgeld voor een generieke decryptiesleutel waarmee alle slachtoffers hun bestanden kunnen ontsleutelen. Een aantal weken na de aanval maakte Kaseya bekend dat het van een niet nader genoemde derde partij een decryptiesleutel had ontvangen voor het ontsleutelen van de data bij alle slachtoffers. Later bleek dat de FBI de decryptiesleutel in handen had gekregen.

Een van de kwetsbaarheden die de aanvallers gebruikten was door het DIVD ontdekt en aan Kaseya gerapporteerd. Vandaag is de technische werking van het beveiligingslek openbaar gemaakt. Standaard biedt een on premise VSA-server een downloadpagina die voor iedereen toegankelijk is en waar gebruikers de clientsoftware kunnen downloaden. Bij de installatie van deze software werd echter een .ini-bestand gegenereerd dat een wachtwoord bevatte om als client op de VSA-server in te loggen.

De aanvallers achter de REvil-ransomware gebruikten dit lek, aangeduid als CVE-2021-30116, om toegang tot de VSA-installatie van managed serviceproviders te krijgen. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Vervolgens gebruikten de aanvallers een ander beveiligingslek waardoor het mogelijk was om onder de klanten van MSP's ransomware uit te rollen.

De onderzoekers van het DIVD ontdekten ook nog een andere kwetsbaarheid in VSA die niet bij de wereldwijde ransomware-aanval is gebruikt, maar de aanval van de ransomwaregroep nog efficiënter en effectiever had gemaakt. Via dit beveiligingslek (CVE-2021-30118) was namelijk ongeauthenticeerde remote code execution mogelijk en konden de aanvallers direct code op VSA-servers uitvoeren.

Bij de wereldwijde ransomware-aanval waren alleen on premise VSA-servers het doelwit, aangezien het gebruikte beveiligingslek (CVE-2021-30116) alleen tegen deze installaties werkte. De SaaS-installaties van VSA waren niet kwetsbaar. Kwetsbaarheid CVE-2021-30118 werkte echter ook tegen de SaaS-installaties van VSA, waardoor de impact veel groter had kunnen zijn. Dit beveiligingslek heeft een impactscore van 9.8. Beide kwetsbaarheden, alsmede verschillende andere lekken die het DIVD in VSA ontdekte, zijn inmiddels verholpen.

Reacties (2)
04-04-2022, 21:14 door Anoniem
Wij waren een jaar ervoor gelukkig gestopt met Kaseya, maar het kan elke agent met system/root rechten overkomen.

Altijd mixed feelings bij dit soort tools gehad en nog steeds...

Agent voor je AV/EP, agent voor je management tooling, agent voor dit, agent voor dat. Altijd leuk : - )
05-04-2022, 08:15 door Bitje-scheef
Door Anoniem: Wij waren een jaar ervoor gelukkig gestopt met Kaseya, maar het kan elke agent met system/root rechten overkomen.

Altijd mixed feelings bij dit soort tools gehad en nog steeds...

Agent voor je AV/EP, agent voor je management tooling, agent voor dit, agent voor dat. Altijd leuk : - )

De tools hebben hun nut meerdere malen bewezen. Wat mij al decennia intrigeert in de software is de race/haast naar een nieuw versie nummer, zonder dat de huidige versie verlost is van bugs of niet werkende features.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.