Serieuze ontwerpfout en achterstallig onderhoud bij Kaseya

De full disclosure door de security-experts van vrijwilligersorganisatie DIVD (Dutch Institute for Vulnerability Disclosure) maakt duidelijk dat niet alleen Kaseya's eigen beheer van zijn IT-omgeving steken heeft laten vallen. Ook het ontwerp van de VSA-beheersoftware en authenticatie tussen client en software is een zwakke plek geweest. Cybercriminelen hebben daar vorig jaar misbruik van gemaakt om Kaseya diepgaand te hacken en vervolgens te benutten voor distributie van hun ransomware; naar dienstverleners die IT-beheer verzorgen voor andere bedrijven én naar die bedrijven.

Ontdekt, gemeld, nét te laat

Vlak vóór de uitvoering van die grote cyberaanval waren zwakke plekken in de software van Kaseya ontdekt door de Nederlandse security-onderzoeker Wietse Boonstra. Hij is lid van het DIVD, een vrijwilligersinitiatief om internet veiliger te maken door te zoeken naar kwetsbaarheden en die verantwoord te melden bij leveranciers en kwetsbare organisaties. Terwijl het DIVD en Kaseya druk bezig waren de gevonden gaten te fixen, en die fixes te testen, sloegen cybercriminelen toe.

Nu, bijna een jaar laten, doen de onderzoekers van het DIVD aan full disclosure. DIVD-grondleggers Victor Gevers en Frank Breedijk, CSIRT-manager (Cyber Security Incident Response Team) bij het DIVD, geven uitleg in de podcast The Ransomwarefiles. De nieuwste editie daarvan komt vandaag live en tegelijk daarmee zet het DIVD de ontdekkingen plus informatie over de bijbehorende kwetsbaarheden online. AG Connect heeft dit vooraf aangereikt gekregen.

'Serieuze ontwerpfout'

Uit de volledige onthulling nu komt de schokkende schaal van de securitymissers binnen Kaseya naar voren. De internationaal uitgevoerde ransomware-aanval via dat IT-bedrijf is niet alleen te wijten aan voorheen onbekende fouten in programmatuur. Ontwerpers van Kaseya hebben ook "een serieuze ontwerpfout" gemaakt in de manier waarop de VSA-clientsoftware zich authenticeerd bij de VSA-server. Daarnaast was er ook sprake van achterstallig onderhoud.

In totaal zijn er maar liefst zeven grote kwetsbaarheden, waarvan nu de CVE-nummers en details worden vrijgegeven. Daaronder ook een kwetsbaarheid die aanvallers de mogelijkheid geeft om een eigen bestand te uploaden naar een systeem dat Kaseya's beheersoftware draait, waarna die eigen code valt uit te voeren met de rechten van de webserver. Daarlangs zijn systemen dus te compromitteren.

Patches en pannenkoeken

De vorig jaar uitgevoerde grote hackaanval, met daarna afpersing, is nog enigszins verstoord doordat Kaseya al was geïnformeerd door het DIVD. Offline halen van de beheersoftware in SaaS-vorm plus het advies aan klanten om de on-premises uitvoering uit te schakelen, heeft mogelijk wat slachtoffers gescheeld. Het ontwikkelen van patches is toen op gang gekomen, waarna het aan gebruikers was om die update zo snel mogelijk toe te passen.

Dat snel toepassen van patches is nog altijd een dringend advies, gezien de nu duidelijker geworden ernst en omvang van de kwetsbaarheden. “Als je nu nog niet hebt gepatched dan ben je een pannenkoek”, verklaart security-expert Breedijk van het DIVD, tevens CISO bij Schuberg Philis. Hij lijkt daarmee een roemruchte uitspraak aan te halen van toenmalig Justitie-minister Ferd Grapperhaus over patchen van het grote beveiligingsgat in VPN-systemen dat eind 2019 is misbruikt. Ironisch genoeg bleek zijn ministerie zelf ook laks met patchen.