Overslaan en naar de inhoud gaan

Ransomwaregat in Kaseya was al ontdekt en gemeld, door DIVD

Het gat in Kaseya's beheersoftware dat is misbruikt voor een ongekend massale ransomwareaanval was al bekend bij de IT-leverancier. Het Dutch Institute for Vulnerability Disclosure (DIVD), een vrijwilligersinitiatief, had de kwetsbaarheid ontdekt en verantwoord gemeld bij het bedrijf. Een patch was al in de maak, maar cybercriminelen hebben zich snel op deze buitenkans gestort.
hackathon gemeente
© gemeente Den Haag
gemeente Den Haag

Terwijl de patch volop in ontwikkeling was, waarbij Kaseya in nauw contact stond met het DIVD, hebben geaffilieerde cybercriminelen van de REvil-bende hun slag geslagen. Zij hebben via een automatische update voor Kaseya's VSA-server de klanten van dat bedrijf geïnfecteerd en daarlangs ook weer de klanten van die IT-dienstverleners.

Te snel af

Strikt genomen is de kwetsbaarheid in de VSA-beheersoftware van Kaseya hiermee een zogeheten zeroday; er zitten namelijk nul dagen tussen gat en patch. Een lapmiddel was echter al in de maak. Dit komt naar verwachting snel beschikbaar. Victor Gevers, ethisch hacker en voorzitter van het DIVD, meldde op Twitter dat de Nederlandse kwetsbaarhedenscanners al samen met Kaseya in een proces voor gecoördineerde onthulling van de kwetsbaarheid zaten.

"De CVE's stonden klaar om gepubliceerd te worden; de patches waren gemaakt en geprepareerd voor distributie en we hebben alle online-instances in kaart gebracht om te helpen het proces [voor patchen - red.] te bespoedigen." Cybercriminelen van de aan Rusland gelinkte REvil-bende hadden echter ook weet van deze kwetsbaarheid, en zijn daar snel op gesprongen. Het is nog niet bekend hóe de afpersers aan bruikbare informatie over deze zeroday zijn gekomen.

Detectietool

De al ontwikkelde patch komt voor het gros van de klanten van Kaseya én de klanten daarvan echter te laat. Veel bedrijven zijn al gehackt waarbij hun systemen en data nu gegijzeld worden. Sommige bedrijven moeten nog ontdekken dat ze zijn gehackt. De grote aanval is namelijk vlak voor het weekend begonnen: in de nacht van vrijdag op zaterdag voor Nederlandse tijd, en in de namiddag voor Amerikaanse tijd en vlak voor het feestweekend van de Fourth of July. In theorie kunnen sommige bedrijven ook gehackt zijn maar (nog) niet gegijzeld.

Softwareleverancier Kaseya heeft een detectietool uitgebracht, die VSA-servers en managed endpoints naloopt op IOC's (inidicators of compromise) voor deze specifieke ransomwareaanval. Deze tool is zondag al uitgerold naar bijna 900 klanten die erom gevraagd hebben, meldt het bedrijf in een van zijn informatieupdates over de lopende afpersingscampagne. Op basis van feedback is de scantool nog verbeterd qua "prestatieniveau en bruikbaarheid". Dit betreft geen inhoudelijke verbeteringen, dus beheerders die al een scanronde hebben uitgevoerd met de tool hoeven hun systemen niet opnieuw te scannen.

Ondertussen is in de loop van het weekend het aantal kwetsbare VSA-servers drastisch afgenomen. Dit mede door een informatiecampagne die is uitgevoerd door het DIVD in samenwerking met hun vertrouwde partners en landelijke CERT's (computer emergency response teams). In een blogpost van gisteren zet security-expert Gevers uiteen dat DIVD-onderzoeker Wietse Boonstra eerder al een aantal van de zeroday-kwetsbaarheden (CVE-2021-30116) heeft geïdentificeerd die nu zijn misbruikt in de grootschalige ransomwareaanval.

Beheersoftware doorlichten

Het DIVD heeft dit gelijk gemeld volgens responsible disclosure richtlijnen (ofwel coordinated vulnerability disclosure). Het onderzoek waarbij Boonstra kwetsbaarheden in Kaseya's beheersoftware heeft gevonden, valt onder een breder project waarbij het DIVD tools voor systeembeheer doorlicht op zwakke, misbruikbare plekken. Het gaat hierbij specifiek om de beheerinterfaces van deze beheerapplicaties, legt Gevers uit. Naast Kaseya worden hierbij bijvoorbeeld ook Vembu BDR, Pulse VPN en Fortinet VPN onderzocht.

"We richten ons op dit soort producten omdat we een trend hebben gezien waar meer van de producten die worden gebruikt om netwerken veilig en beveiligd te houden structurele zwakheden vertonen." Gaten in VPN-software van leverancier Pulse zijn eind 2019 een ingang geweest voor cybercriminelen en begin dit jaar was het opnieuw raak. Voor leverancier Fortinet geldt ook dat er in de praktijk door cybercriminelen al goed (en meermaals) gebruik is gemaakt van gaten. Malwareaanvallen via beveiligings- en beheersoftware beloven de daders namelijk breed bereik en diepe impact.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in