La semaine dernière, des cybercriminels ont déployé des rançongiciels dans 1 500 organisations, dont beaucoup fournissent la sécurité informatique et le support technique à d’autres entreprises. Les attaquants ont exploité une vulnérabilité dans le logiciel de Kaseya, une société basée à Miami dont les produits aident les administrateurs système à gérer de grands réseaux à distance. Il semble maintenant que le portail de service client de Kaseya ait été laissé vulnérable jusqu’à la semaine dernière à une faille de sécurité de fuite de données qui a été identifiée pour la première fois dans le même logiciel il y a six ans.
Le 3 juillet, le programme d’affiliation REvil ransomware a commencé à utiliser une faille de sécurité zero-day (CVE-2021-30116) pour déployer des rançongiciels auprès de centaines de sociétés de gestion informatique exécutant le logiciel de gestion à distance de Kaseya, connu sous le nom de Administrateur système virtuel Kaseya (VSA).
Selon cette entrée pour CVE-2021-30116la faille de sécurité qui fait que Kaseya VSA zero-day s’est vu attribuer un numéro de vulnérabilité le 2 avril 2021, indiquant que Kaseya avait environ trois mois pour corriger le bogue avant qu’il ne soit exploité dans la nature.
Toujours le 3 juillet, le cabinet d’intervention en cas d’incident de sécurité Mandiant a informé Kaseya que son site de facturation et d’assistance client —portail.kaseya.net — était vulnérable à CVE-2015-2862une vulnérabilité de « traversée de répertoire » dans Kaseya VSA qui permet aux utilisateurs distants de lire n’importe quel fichier sur le serveur à l’aide d’un simple navigateur Web.
Comme son nom l’indique, la CVE-2015-2862 a été publiée en juillet 2015. Six ans plus tard, le portail client de Kaseya était toujours exposé à la fuite de données.
Le portail de support client et de facturation Kaseya. Image : Archive.org.
Mandiant a informé Kaseya après en avoir entendu parler par Alex Holdenfondateur et directeur de la technologie d’une société de cyber-intelligence basée à Milwaukee Garder la sécurité. Holden a déclaré que la vulnérabilité de 2015 était présente sur le portail client de Kaseya jusqu’à samedi après-midi, lui permettant de télécharger le site fichier « web.config »un composant serveur qui contient souvent des informations sensibles telles que les noms d’utilisateur et les mots de passe et les emplacements des bases de données de clés.
« Ce n’est pas comme s’ils avaient oublié de corriger quelque chose que Microsoft avait corrigé il y a des années », a déclaré Holden. « C’est un correctif pour leur propre logiciel. Et ce n’est pas le jour zéro. C’est de 2015 ! »
La description officielle de CVE-2015-2862 indique qu’un attaquant potentiel devrait déjà être authentifié auprès du serveur pour que l’exploit fonctionne. Mais Holden a déclaré que ce n’était pas le cas avec la vulnérabilité sur le portail Kaseya qu’il a signalée via Mandiant.
« C’est pire parce que le CVE appelle un utilisateur authentifié », a déclaré Holden. « Ce n’était pas le cas. »
Michel Sander, vice-président exécutif de la gestion des comptes chez Kaseya, a confirmé que le portail client avait été mis hors ligne en réponse à un rapport de vulnérabilité. Sanders a déclaré que le portail avait été retiré en 2018 au profit d’un système de support client et de billetterie plus moderne, mais d’une manière ou d’une autre, l’ancien site était toujours disponible en ligne.
« Il était obsolète mais laissé en place », a déclaré Sanders.
Dans une déclaration écrite partagée avec BreachTrace, Kaseya a déclaré qu’en 2015, le CERT avait signalé deux vulnérabilités dans son produit VSA.
« Nous avons travaillé avec le CERT sur la divulgation responsable et publié des correctifs pour les versions VSA V7, R8, R9 et R9 ainsi que la divulgation publique (CVE) et les notifications à nos clients. Portal.kaseya.net n’a pas été considéré par notre équipe comme faisant partie du produit d’expédition VSA et ne faisait pas partie du correctif du produit VSA en 2015. Il n’a pas accès aux points de terminaison des clients et a été fermé – et ne sera plus activé ou utilisé par Kaseya.
« Pour le moment, rien ne prouve que ce portail ait été impliqué dans l’incident de sécurité du produit VSA », poursuit le communiqué. « Nous continuons à faire des analyses médico-légales sur le système et à rechercher quelles données s’y trouvent réellement. »
Le groupe de rançongiciels REvil a déclaré que les organisations concernées pourraient négocier indépendamment avec elles une clé de déchiffrement, ou que quelqu’un pourrait payer 70 millions de dollars en monnaie virtuelle pour acheter une clé qui fonctionne pour déchiffrer tous les systèmes compromis dans cette attaque.
Mais Sanders a déclaré que tous les experts en rançongiciels que Kaseya a consultés jusqu’à présent ont déconseillé de négocier une rançon pour débloquer toutes les victimes.
« Le problème est qu’ils n’ont pas nos données, ils ont les données de nos clients », a déclaré Sanders. « Nous avons été conseillés de ne pas le faire par toutes les sociétés de négociation de rançongiciels avec lesquelles nous avons traité. Ils ont dit qu’avec le nombre de machines individuelles piratées et ransomwares, il serait très difficile de remédier à tous ces systèmes en même temps.
Dans une vidéo postée sur Youtube le 6 juillet, le PDG de Kaseya Fred Voccola a déclaré que l’attaque par ransomware avait « un impact limité, avec seulement environ 50 des plus de 35 000 clients de Kaseya ayant été piratés ».
« Bien que chaque client touché soit un de trop, l’impact de cette attaque hautement sophistiquée s’est avéré, heureusement, largement surestimé », a déclaré Voccola.
La vulnérabilité zero-day qui a conduit à la rançon des clients de Kaseya (et des clients de ces clients) a été découverte et signalée à Kaseya par Wietse Boonstrachercheur au Institut néerlandais pour la divulgation des vulnérabilités (DIVD).
Dans un article de blog du 4 juilletDIVD Victor Gevers a écrit que Kaseya était « très coopératif » et « a posé les bonnes questions ».
« De plus, des correctifs partiels ont été partagés avec nous pour valider leur efficacité », a écrit Gevers. « Pendant tout le processus, Kaseya a montré qu’il était prêt à déployer le maximum d’efforts et d’initiative dans cette affaire à la fois pour résoudre ce problème et pour que ses clients soient corrigés. Ils ont montré un véritable engagement à faire ce qu’il fallait. Malheureusement, nous avons été battus par REvil dans le sprint final, car ils pouvaient exploiter les vulnérabilités avant même que les clients ne puissent les corriger.
Pourtant, Kaseya n’a pas encore publié de correctif officiel pour la faille signalée par Boonstra en avril. Kaseya dit aux clients le 7 juillet qu’il travaillait « toute la nuit » pour publier une mise à jour.
Gevers a déclaré que la vulnérabilité de Kaseya avait été découverte dans le cadre d’un effort plus large de la DIVD pour rechercher de graves failles dans un large éventail d’outils de gestion de réseau à distance.
« Nous nous concentrons sur ces types de produits car nous avons repéré une tendance selon laquelle de plus en plus de produits utilisés pour assurer la sécurité des réseaux présentent des faiblesses structurelles », a-t-il écrit.