De wereldwijde ransomware-aanval via de software van Kaseya was mede mogelijk omdat via de downloadpagina van VSA-servers een bestand was te downloaden waarmee aanvallers als client konden inloggen. Er was echter een andere kwetsbaarheid die de aanval door de REvil-ransomware nog effectiever en efficiënter zou hebben gemaakt. Dat laat het DIVD (Dutch Institute for Vulnerability Disclosure) vandaag weten.

Managed serviceproviders (MSP's) gebruiken VSA om de systemen van hun klanten op afstand te beheren. MSP's kunnen VSA op hun eigen servers installeren of de SaaS-omgeving van Kaseya gebruiken. Vorig jaar gebruikten criminelen achter de REvil-ransomware twee kwetsbaarheden in VSA om ransomware bij de klanten van MSP's uit te rollen. Volgens Kaseya raakten op deze manier tot vijftienhonderd organisaties wereldwijd besmet met de ransomware.

De aanvallers eisten 70 miljoen dollar losgeld voor een generieke decryptiesleutel waarmee alle slachtoffers hun bestanden kunnen ontsleutelen. Een aantal weken na de aanval maakte Kaseya bekend dat het van een niet nader genoemde derde partij een decryptiesleutel had ontvangen voor het ontsleutelen van de data bij alle slachtoffers. Later bleek dat de FBI de decryptiesleutel in handen had gekregen.

Een van de kwetsbaarheden die de aanvallers gebruikten was door het DIVD ontdekt en aan Kaseya gerapporteerd. Vandaag is de technische werking van het beveiligingslek openbaar gemaakt. Standaard biedt een on premise VSA-server een downloadpagina die voor iedereen toegankelijk is en waar gebruikers de clientsoftware kunnen downloaden. Bij de installatie van deze software werd echter een .ini-bestand gegenereerd dat een wachtwoord bevatte om als client op de VSA-server in te loggen.

De aanvallers achter de REvil-ransomware gebruikten dit lek, aangeduid als CVE-2021-30116, om toegang tot de VSA-installatie van managed serviceproviders te krijgen. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Vervolgens gebruikten de aanvallers een ander beveiligingslek waardoor het mogelijk was om onder de klanten van MSP's ransomware uit te rollen.

De onderzoekers van het DIVD ontdekten ook nog een andere kwetsbaarheid in VSA die niet bij de wereldwijde ransomware-aanval is gebruikt, maar de aanval van de ransomwaregroep nog efficiënter en effectiever had gemaakt. Via dit beveiligingslek (CVE-2021-30118) was namelijk ongeauthenticeerde remote code execution mogelijk en konden de aanvallers direct code op VSA-servers uitvoeren.

Bij de wereldwijde ransomware-aanval waren alleen on premise VSA-servers het doelwit, aangezien het gebruikte beveiligingslek (CVE-2021-30116) alleen tegen deze installaties werkte. De SaaS-installaties van VSA waren niet kwetsbaar. Kwetsbaarheid CVE-2021-30118 werkte echter ook tegen de SaaS-installaties van VSA, waardoor de impact veel groter had kunnen zijn. Dit beveiligingslek heeft een impactscore van 9.8. Beide kwetsbaarheden, alsmede verschillende andere lekken die het DIVD in VSA ontdekte, zijn inmiddels verholpen.