image

Kaseya: geen sprake van supply-chain-aanval, broncode niet aangepast

dinsdag 6 juli 2021, 11:25 door Redactie, 11 reacties

De aanvallers achter de wereldwijde ransomware-aanval via de software van Kaseya hebben geen toegang tot de broncode van het bedrijf gehad of bijvoorbeeld de updateservers gebruikt om hun ransomware te verspreiden. Er is dan ook geen sprake van een supply-chain-aanval. Dat stelt Kaseya op basis van onderzoek.

Volgens het bedrijf hebben de aanvallers gebruik gemaakt van verschillende zerodaylekken in Kaseya VSA. Hierdoor konden ze de authenticatie omzeilen en willekeurige commando's op de VSA-servers van managed serviceproviders (MSP's) uitvoeren. Vervolgens hebben de aanvallers de standaard functionaliteit van Kaseya gebruikt om ransomware bij de klanten van MSP's te installeren.

Managed serviceproviders (MSP's) gebruiken Kaseya VSA voor het beheren van de systemen van hun klanten. Via VSA hebben MSP's dan ook op afstand toegang tot deze systemen. Nadat de aanvallers de VSA-servers van managed serviceproviders hadden gecompromitteerd konden ze probleemloos de systemen van klanten aanvallen. Voor zover nu bekend zijn er minder dan vijftienhonderd "downstream businesses" op deze manier getroffen.

"We weten dat er veel informatie over dit incident rondgaat. Een deel klopt, maar heel veel niet", aldus Kaseya, dat zegt met meer informatie te zullen komen als dit beschikbaar komt.

Reacties (11)
06-07-2021, 11:37 door Power2All
Aha, dus mijn vermoeden was dus toch waar.
Had hier een discussie over met mijn collega, maar die zei dat het via hun eigen deployment servers als update op de systemen terecht gekomen waren.
Maar nu schijnt dus dat die Kaseya VSA software dus lekker open voor alle publiek staan op internet ?
Dat is best wel slechte beveiliging, op zijn minst een firewall toepassen die alleen bepaalde IP ranges toestaan te laten connecten, zou al een heleboel zooi tegenhouden...
Beetje hetzelfde als RDP van Windows publiekelijk toegankelijk hebben, en raar opkijken dat je gehacked wordt door zero day exploits erin.
06-07-2021, 11:38 door Anoniem
Waarom hangen die VSA servers direct aan het internet? Men zou als Managed Service Provider een VPN tunnel naar elke klant kunnen maken. Met OpenVPN en ingebakken (MS) virtualisatie is het kosten argument ook niet meer aanwezig.

Leuk dat alle instanties weer lopen te miepen over ransomeware en Bitcoin. Het echte probleem is weer eens gebrekkig beheer / vulnerability management.
06-07-2021, 11:39 door MrMerlin
Bijzonder:

A supply chain attack is a cyber-attack that seeks to damage an organization by targeting less-secure elements in the supply chain.

Volgens mij is door het gebruik maken van de zeroday in Kaseya VSA de MSP aangevallen en via de supply-chain uiteindelijk de eindklanten van deze MSP's.

Of de broncode nu wel of niet aangepast is, is volgens mij geen onderdeel van de vraag of dit een supply-chain aanval was.
06-07-2021, 11:54 door Anoniem
Door MrMerlin: Bijzonder:

A supply chain attack is a cyber-attack that seeks to damage an organization by targeting less-secure elements in the supply chain.

Volgens mij is door het gebruik maken van de zeroday in Kaseya VSA de MSP aangevallen en via de supply-chain uiteindelijk de eindklanten van deze MSP's.

Of de broncode nu wel of niet aangepast is, is volgens mij geen onderdeel van de vraag of dit een supply-chain aanval was.
Dit... het is zeker wel een supply-chain attack
06-07-2021, 14:03 door Anoniem
Door Anoniem: Waarom hangen die VSA servers direct aan het internet? Men zou als Managed Service Provider een VPN tunnel naar elke klant kunnen maken. Met OpenVPN en ingebakken (MS) virtualisatie is het kosten argument ook niet meer aanwezig.
Tegenwoordig is het hip om totaal zonder klantinfra te werken. Dwz er is geen "netwerk van de klant" maar de klant werkt
volledig in de cloud en op kantoor is er gewoon een internet toegangsnetwerk waar zowel de apparatuur van de klant
als allerlei gast toegang op zit.
Plus dat medewerkers van de klant ook thuis kunnen zitten (dat wordt veel gemakkelijker als je het allemaal zo inricht).
Een "VPN naar de klant" verliest zo een beetje de betekenis.
06-07-2021, 14:04 door Power2All
Door MrMerlin: Bijzonder:

A supply chain attack is a cyber-attack that seeks to damage an organization by targeting less-secure elements in the supply chain.

Volgens mij is door het gebruik maken van de zeroday in Kaseya VSA de MSP aangevallen en via de supply-chain uiteindelijk de eindklanten van deze MSP's.

Of de broncode nu wel of niet aangepast is, is volgens mij geen onderdeel van de vraag of dit een supply-chain aanval was.

Er zijn direct lekken in VSP misbruikt, waarschijnlijk buffer-overflows oid, en tja, dan kun je remote data executen, en dan heeft het niks met supply chains te maken. Het zijn remote control apps, die als ik het zo lees, zonder firewall op internet zaten.
06-07-2021, 14:57 door Anoniem
Vanuit Kaseya gezien is er helemaal geen supply chain attack. Hun systemen zijn niet gebruikt om hun klanten (MSP's) aan te vallen.

En gezien de relatie van VSA tussen MSP's en hun klanten kun je idd afvragen of dat dan wel een supply chain attack is. Dan zou je ook ransomware infecties via bijvoorbeeld RDP een supply chain attack kunnen noemen....
06-07-2021, 16:25 door karma4
Kaseya software zelf is/was lek. De VSA servers moesten asap uit. Dit is de acties voor de MSP-ers
De MSP's zitten wel degelijk in de supply-chain voor vele afnemers. Daarom is het effect zo groot.

Voor Kaseya software in de supply zouden via de leveranciers(Kaseya) veel meer en hogere eisen aan de afscherming gesteld moeten worden.
- Open VSA server op het publieke iternet, onbegrijpeiijk.
- automatische updates vanuit de VSA servers zonder tweede/derder factor, onbegrijpelijk
06-07-2021, 16:28 door Anoniem
Vanuit het perspectief van Kadeya naar de MSPs is het geen supply-chain aanval. De servers van de leverancier Kaseya zijn immers niet gebruikt in de aanval.

Vanuit het perspectief van de klanten van de MSPs is het wél een supply-chain aanval. De servers van hun leverancier zijn immers gebruikt om op andere bedrijfsnetwerken binnen te dringen.
06-07-2021, 17:24 door Anoniem
Dit is echt verschrikkelijk 'symantics'...

"onze servers zijn niet gebruikt voor de aanval, dus is het geen supply chain attack"...

Dat is net zo duf als zeggen 'ik heb niemand vermoord, het waren de kogels uit mijn AR-15 Beowulf 0.50'...
Grappig als Microsoft zou zeggen 'het zijn helemaal geen Windows 2019 servers... het zijn HP Proliant DL350 G10 machines, geen Windows servers..."...

Ze komen naar buiten als er meer informatie is... Ja, zeker van die 120 nieuwe marketing mensen..
06-07-2021, 20:06 door Anoniem
Maar dll hijacking is stille very much alive and kicking.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.