Kaseya corrigeait la faille 0-day au moment où le ransomware REvil a lancé son attaque

0

La vulnérabilité zero-day utilisée pour pénétrer les serveurs Kaseya VSA sur site était en train d’être corrigée, alors que le gang de ransomware REvil l’a utilisée pour effectuer une attaque massive.

La vulnérabilité avait été précédemment divulguée à Kaseya par des chercheurs en sécurité du Dutch Institute for Vulnerability Disclosure (DIVD), et Kaseya validait le correctif avant de le déployer auprès des clients.

Cependant, dans ce qui ne peut être considéré que comme un mauvais timing, le gang de ransomware REvil a battu Kaseya et a utilisé cette même faille zero-day pour mener son attaque contre les fournisseurs de services gérés dans le monde entier et leurs clients.

« Après cette crise, il y aura la question de savoir qui est à blâmer. De notre côté, nous aimerions mentionner que Kaseya a été très coopératif. Une fois que Kaseya a été au courant de nos vulnérabilités signalées, nous avons été en contact et coopération constamment avec eux . Lorsque les éléments de notre rapport n’étaient pas clairs, ils posaient les bonnes questions », a déclaré Victor Gevers de DIVD dans un article de blog.

« De plus, des correctifs partiels ont été partagés avec nous pour valider leur efficacité. Pendant tout le processus, Kaseya a montré qu’ils étaient prêts à déployer le maximum d’efforts et d’initiatives dans ce cas, à la fois pour résoudre ce problème et patcher les systèmes de leurs clients. »

« Ils ont montré un réel engagement à faire ce qu’il fallait. Malheureusement, nous avons été battus par REvil dans le sprint final, car ils pouvaient exploiter les vulnérabilités avant même que les clients ne puissent corriger. »

Kaseya a confirmé qu’ils travaillaient en étroite collaboration avec DIVD.

On sait peu de choses à propos de la faille zero-day

La vulnérabilité zero-day de Kaseya a été découverte par le chercheur de DIVD, Wietse Boonstra, et a reçu l’identifiant CVE-2021-30116.

Interrogé sur la façon dont REvil a appris la vulnérabilité au fur et à mesure qu’elle était corrigée, Gevers a indiqué dans un tweet que la vulnérabilité était simple à exploiter.

Gevers a déclaré que la divulgation de la vulnérabilité était « dans le délai standard de l’industrie pour la divulgation coordonnée des vulnérabilités », et qu’ils fourniraient plus d’informations dans un futur avis.

Seulement 140 serveurs VSA accessibles au public

Depuis le début des attaques, les chercheurs de DIVD ont fourni à Kaseya une liste d’adresses IP VSA et d’ID client accessibles au public afin de mettre les serveurs hors ligne.

Cet effort a conduit à une diminution spectaculaire des serveurs accessibles au public, avec seulement 140 accessibles.

« Au cours des dernières 48 heures, le nombre d’instances Kaseya VSA accessibles depuis Internet est passé de plus de 2 200 à moins de 140 lors de notre dernière analyse d’aujourd’hui », a déclaré Gevers dans un tweet.

kaseya divd
Serveurs Kaseya VSA accessibles au public dans le monde entier
Source: DIVD

Dans le rapport d’état de Kaseya, ces efforts semblent fonctionner car il n’y a eu qu’un seul autre rapport d’un serveur VSA sur site compromis.

De plus, Gevers rapporte avoir supprimé avec succès tout accès public aux serveurs Kaseya VSA aux Pays-Bas.

Dans une nouvelle mise à jour de Kaseya, il est recommandé que tous les serveurs VSA sur site restent hors ligne jusqu’à ce qu’un correctif soit publié.

Kaseya est également en train de mettre en ligne ses fermes de serveurs SaaS et d’élaborer un plan pour les serveurs VSA hébergés.

N’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire