Nederlandse beveiligingsonderzoekers hebben begin april zeven kwetsbaarheden in Kaseya VSA gevonden, waaronder één van de twee beveiligingslekken waar criminelen vorige week bij de wereldwijde ransomware-aanval gebruik van maakten. De onderzoekers maken deel uit van het Dutch Institute for Vulnerability Disclosure (DIVD), dat zich bezighoudt met beveiligingsonderzoek en het waarschuwen van kwetsbare organisaties.

De beveiligingslekken die de DIVD-onderzoekers ontdekten maken het onder andere mogelijk om code op VSA-servers uit te voeren, de tweefactorauthenticatie te omzeilen, SQL Injection-aanvallen uit te voeren en inloggegevens te bemachtigen waarmee er toegang tot VSA-servers kan worden verkregen. Na ontdekking van de kwetsbaarheden werd Kaseya door het DIVD gewaarschuwd. Vier de van de beveiligingslekken werden vervolgens verholpen via updates die in april en mei verschenen.

Drie van de kwetsbaarheden moesten nog in de VSA-software worden gepatcht. Eén van deze beveiligingslekken, aangeduid als CVE-2021-30116, werd vorige week bij de wereldwijde ransomware-aanval door criminelen gebruikt om toegang tot de VSA-servers van managed serviceproviders (MSP's) te krijgen. Via deze servers beheren MSP's de systemen van hun klanten. De standaard remote toegang die VSA biedt gebruikten de criminelen om vervolgens ransomware op klantsystemen te installeren.

De ernst van CVE-2021-30116 is op een schaal van 1 tot en met 10 met een 10 beoordeeld. Daarnaast maakten de aanvallers ook misbruik van een andere kwetsbaarheid, zo laat het DIVD weten. Dit beveiligingslek was echter niet door de Nederlandse onderzoekers ontdekt. Het DIVD wil details over de gevonden kwetsbaarheden pas bekendmaken als Kaseya updates heeft uitgebracht en die op voldoende systemen zijn geïnstalleerd, om zo eventueel misbruik te voorkomen.