Innovatie & Strategie

Security
hackers

Ransomwaregat in Kaseya was al ontdekt en gemeld, door DIVD

Nederlandse hackers hadden gat in beheersoftware al verantwoord gemeld, maar Russische afpersers waren te snel.

© gemeente Den Haag
5 juli 2021

Nederlandse hackers hadden gat in beheersoftware al verantwoord gemeld, maar Russische afpersers waren te snel.

Het gat in Kaseya's beheersoftware dat is misbruikt voor een ongekend massale ransomwareaanval was al bekend bij de IT-leverancier. Het Dutch Institute for Vulnerability Disclosure (DIVD), een vrijwilligersinitiatief, had de kwetsbaarheid ontdekt en verantwoord gemeld bij het bedrijf. Een patch was al in de maak, maar cybercriminelen hebben zich snel op deze buitenkans gestort.

Terwijl de patch volop in ontwikkeling was, waarbij Kaseya in nauw contact stond met het DIVD, hebben geaffilieerde cybercriminelen van de REvil-bende hun slag geslagen. Zij hebben via een automatische update voor Kaseya's VSA-server de klanten van dat bedrijf geïnfecteerd en daarlangs ook weer de klanten van die IT-dienstverleners.

Te snel af

Strikt genomen is de kwetsbaarheid in de VSA-beheersoftware van Kaseya hiermee een zogeheten zeroday; er zitten namelijk nul dagen tussen gat en patch. Een lapmiddel was echter al in de maak. Dit komt naar verwachting snel beschikbaar. Victor Gevers, ethisch hacker en voorzitter van het DIVD, meldde op Twitter dat de Nederlandse kwetsbaarhedenscanners al samen met Kaseya in een proces voor gecoördineerde onthulling van de kwetsbaarheid zaten.

"De CVE's stonden klaar om gepubliceerd te worden; de patches waren gemaakt en geprepareerd voor distributie en we hebben alle online-instances in kaart gebracht om te helpen het proces [voor patchen - red.] te bespoedigen." Cybercriminelen van de aan Rusland gelinkte REvil-bende hadden echter ook weet van deze kwetsbaarheid, en zijn daar snel op gesprongen. Het is nog niet bekend hóe de afpersers aan bruikbare informatie over deze zeroday zijn gekomen.

Detectietool

De al ontwikkelde patch komt voor het gros van de klanten van Kaseya én de klanten daarvan echter te laat. Veel bedrijven zijn al gehackt waarbij hun systemen en data nu gegijzeld worden. Sommige bedrijven moeten nog ontdekken dat ze zijn gehackt. De grote aanval is namelijk vlak voor het weekend begonnen: in de nacht van vrijdag op zaterdag voor Nederlandse tijd, en in de namiddag voor Amerikaanse tijd en vlak voor het feestweekend van de Fourth of July. In theorie kunnen sommige bedrijven ook gehackt zijn maar (nog) niet gegijzeld.

Softwareleverancier Kaseya heeft een detectietool uitgebracht, die VSA-servers en managed endpoints naloopt op IOC's (inidicators of compromise) voor deze specifieke ransomwareaanval. Deze tool is zondag al uitgerold naar bijna 900 klanten die erom gevraagd hebben, meldt het bedrijf in een van zijn informatieupdates over de lopende afpersingscampagne. Op basis van feedback is de scantool nog verbeterd qua "prestatieniveau en bruikbaarheid". Dit betreft geen inhoudelijke verbeteringen, dus beheerders die al een scanronde hebben uitgevoerd met de tool hoeven hun systemen niet opnieuw te scannen.

Ondertussen is in de loop van het weekend het aantal kwetsbare VSA-servers drastisch afgenomen. Dit mede door een informatiecampagne die is uitgevoerd door het DIVD in samenwerking met hun vertrouwde partners en landelijke CERT's (computer emergency response teams). In een blogpost van gisteren zet security-expert Gevers uiteen dat DIVD-onderzoeker Wietse Boonstra eerder al een aantal van de zeroday-kwetsbaarheden (CVE-2021-30116) heeft geïdentificeerd die nu zijn misbruikt in de grootschalige ransomwareaanval.

Beheersoftware doorlichten

Het DIVD heeft dit gelijk gemeld volgens responsible disclosure richtlijnen (ofwel coordinated vulnerability disclosure). Het onderzoek waarbij Boonstra kwetsbaarheden in Kaseya's beheersoftware heeft gevonden, valt onder een breder project waarbij het DIVD tools voor systeembeheer doorlicht op zwakke, misbruikbare plekken. Het gaat hierbij specifiek om de beheerinterfaces van deze beheerapplicaties, legt Gevers uit. Naast Kaseya worden hierbij bijvoorbeeld ook Vembu BDR, Pulse VPN en Fortinet VPN onderzocht.

"We richten ons op dit soort producten omdat we een trend hebben gezien waar meer van de producten die worden gebruikt om netwerken veilig en beveiligd te houden structurele zwakheden vertonen." Gaten in VPN-software van leverancier Pulse zijn eind 2019 een ingang geweest voor cybercriminelen en begin dit jaar was het opnieuw raak. Voor leverancier Fortinet geldt ook dat er in de praktijk door cybercriminelen al goed (en meermaals) gebruik is gemaakt van gaten. Malwareaanvallen via beveiligings- en beheersoftware beloven de daders namelijk breed bereik en diepe impact.

Lees meer over Innovatie & Strategie OP AG Intelligence
4
Reacties
Erik Remmelzwaal 06 juli 2021 12:48

"automatische update voor Kaseya's VSA-server", misschien goed bij het ontdekken van een gat ook de (automatische) updates op te schorten?

Rob Telkamp 06 juli 2021 10:50

Na het lezen van deze zin: 'Het is nog niet bekend hóe de afpersers aan bruikbare informatie over deze zeroday zijn gekomen.' vroeg ik me af in hoeverre organisaties als DIVD misbruikt worden door hacker-mollen? Bijvoorbeeld door lid te worden of zich via groups-of-interest te verbinden met (leden van) ethische hackers(organisaties). Gezien de professionalisering van de cyber crime scene zou het me niet verbazen als er een groep is, die gespecialiseerd is in het ontfutselen van informatie van ethische hackers.
@Jasper, weet jij in hoeverre en hoe cyber criminelen zich verbinden met ethische hackers, en wat de laatste doen om dat te voorkomen?

Jasper Bakker 05 juli 2021 11:09

@FSML
Code die aanvallers gebruiken om een zeroday-kwetsbaarheid te benutten is een zeroday exploit (of voluit: zeroday exploit code).
Sommigen spreken ook wel van zeroday-aanval: https://www.kaspersky.nl/resource-center/definitions/zero-day-exploit
Anderen hebben het in uitleg/definitie erover dat de maker van kwetsbare software nog geen weet heeft van de kwetsbaarheid daarin: https://www.investopedia.com/terms/z/zero-day-attack.asp
(Wat hier bij Kaseya dus formeel níet het geval was!)

Essentie is iig dat een zeroday een kwetsbaarheid betreft waarvoor nog geen patch beschikbaar is: https://www.trendmicro.com/vinfo/us/security/definition/zero-day-vulner…
https://www.csoonline.com/article/3284084/zero-days-explained-how-unkno…
etc.

FSML 05 juli 2021 10:55

"Strikt genomen is de kwetsbaarheid in de VSA-beheersoftware van Kaseya hiermee een zogeheten zeroday; er zitten namelijk nul dagen tussen gat en patch."
Eh... niet dus. Lees even mee: "A Zero Day is both a previously undetected hole in security software and the code attackers use to take advantage of said hole." (https://www.wired.com/2014/11/what-is-a-zero-day/)
Dat had een "Techjournalist, ICT-kenner" moeten weten...

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.