Nederlandse hackers konden aanval op Kaseya nipt niet vermijden
De aanval op Kaseya VSA maakte gebruik van kwetsbaarheden in hun software. De cybercriminelen hadden geluk, want het bedrijf stond op het punt een patch uit te rollen.
De REvil ransomware die momenteel verschillende bedrijven treft wordt deels verspreid via een kwetsbaarheid in Kaseya VSA, software om systemen van op afstand te beheren. Het bedrijf was al actief bezig om samen met het Dutch Institute for Vulnerability Disclosure (DIVD) een patch klaar te stomen, maar kwam net te laat.
DIVD is een Nederlandse vrijwillige organisatie die kwetsbaarheden verzamelt en communiceert naar betrokken partijen. In een blogpost zegt voorzitter Victor Gevers hoe DIVD-onderzoeker Wietse Boonstra een aantal niet eerder ontdekte (zero day) kwetsbaarheden ontdekte bij Kaseya VSA. Die werden ontdekt bij een groter onderzoek naar tools voor systeembeheer en gemeld bij Kaseya zelf.
Gevers benadrukt dat het bedrijf vanaf dan altijd heeft meegewerkt. ‘Na deze crisis zal de vraag komen wie de schuld draagt. Vanuit onze kant willen we graag zeggen dat Kaseya zeer goed heeft meegewerkt. Zodra het werd ingelicht over onze ontdekte kwetsbaarheden, hebben we continu samengewerkt en contact gehouden.’
Kaseya vroeg DIVD ook om feedback op gedeeltelijke patches, om de impact ervan in te schatten. Het bedrijf heeft de waarschuwingen van de securityorganisatie dus niet in de wind geslagen.
‘Tijdens het hele proces heeft Kaseya getoond dat ze alles willen doen om dit opgelost te krijgen voor hun klanten. Ze waren toegewijd om de juiste dingen te doen, maar helaas werden we geklopt door REvil in de laatste sprint waarbij ze de kwetsbaarheid konden misbruiken voor de klanten konden patchen.’
Wel schade voorkomen
Hoewel de aanval niet volledig werd afgewend, heeft het werk van DIVD en Kaseya wel heel wat schade beperkt. Niet alleen was het bedrijf hierdoor al voorbereid met een patch, beide organisaties hebben ook de afgelopen dagen samengewerkt.
Zo konden klanten vrij snel worden ingelicht waardoor het aantal systemen met Kaseya VSA, die bereikbaar waren vanaf het internet, van 2.200 naar 140 zakte het afgelopen weekend. Ook werden andere nationale CERT’s ingelicht waardoor de melding om Kaseya VSA voorlopig niet te gebruiken snel de wereld rond ging.
Kaseya zelf raad momenteel aan om on premise servers nog offline te houden. Voor SaaS-klanten zullen de datacenters geleidelijk aan weer worden herstart. In haar update geeft het bedrijf ook een tool mee om na te gaan of een systeem (een server of endpoint) al dan niet gecompromitteerd is.
Fout opgemerkt of meer nieuws? Meld het hier