Kaseya a publié les correctifs des failles exploitées par le ransomware REvil (update)
Les pirates ayant utilisé le ransomware REvil ont exploité une vulnérabilité logicielle qui était connue de l’éditeur Kaseya. Un institut néerlandais la lui avait signalée en avril déjà, mais elle a tardé à être corrigée. Les patchs sont désormais disponibles.
Mise à jour du 13/07/2021: Kaseya a publié le correctif pour patcher les failles de sécurité responsables de la récente attaque par ransomware exploitant son outil de Remote Monitoring Management VSA. Sur sa page web dédiée à cet incident, le fournisseur de services managés indique avoir publié les correctifs pour les clients VSA on-premise. Si l'attaque a principalement touché cette version sur site, la déclinaison SaaS du logiciel a également été temporairement indisponible. La restauration des services SaaS est désormais 100% achevée, précise Kaseya.
Les notes de mise à jour mentionnent plusieurs vulnérabilités. Le logiciel peut notamment avoir exposé des informations d'identification et permis de contourner l'authentification à deux facteurs. L’autorisation de scripts cross-sites est également listée.
News originale du 09/07/2021: On apprenait début juillet que plusieurs entreprises sont victimes du ransomware REvil, qui s’est installé sur leur réseau en exploitant l’outil de télégestion informatique VSA de Kaseya. Les pirates demandent une rançon de 70 millions de dollars pour libérer les systèmes.
Selon différents médias dont The Register, l’éditeur américain Kaseya connaissait déjà l’une des vulnérabilités de son outil exploitée par les hackers. L’institut néerlandais DIVD CSIRT lui aurait signalé sept vulnérabilités au mois d’avril: quatre d’entre elles ont été rapidement corrigées, mais l’une des trois autres a été exploitée par les pirates avant sa correction.
Selon une analyse de Tenable, les attaquants auraient profité de trois vulnérabilités zero day permettant respectivement de télécharger un fichier arbitraire, d’injecter du code et de contourner l’authentification. Cette dernière fait justement partie des problèmes signalés par DIVD CSIRT.
Sur son blog, l’institut néerlandais salue cependant le travail de Kaseya: «Après cette crise, la question de savoir qui est à blâmer se posera. De notre côté, nous aimerions mentionner que Kaseya a été très coopératif. Dès que Kaseya a eu connaissance des vulnérabilités que nous avions signalées, nous avons été en contact et en coopération constants avec eux. Lorsque des éléments de notre rapport n'étaient pas clairs, ils ont posé les bonnes questions. De même, des correctifs partiels ont été partagés avec nous pour valider leur efficacité. Tout au long du processus, Kaseya a montré qu'elle était disposée à déployer un maximum d'efforts et d'initiatives dans cette affaire, à la fois pour résoudre ce problème et pour que ses clients bénéficient de correctifs. Ils ont fait preuve d'un véritable engagement à faire ce qui est juste. Malheureusement, nous avons été battus par REvil lors du sprint final, car ils ont pu exploiter les vulnérabilités avant même que les clients puissent appliquer les correctifs».
Vitesse et ressources
Les spécialistes de Kaseya ont donc été pris de vitesse. Ce n’est pas une surprise, la cybersécurité se joue souvent à qui, entre les spécialistes malveillants et bienveillants, sera le plus rapide à détecter une vulnérabilité, afin de l’exploiter pour les premiers et de la patcher pour les seconds.
Et parfois cela ne suffit pas: lorsqu’il ne s’agit pas d’un SaaS mais d’un logiciel installé, il faut encore attendre que les utilisateurs déploient les correctifs. On se souvient des attaques avec le ransomware DearCry qui ont touché des organisations ce printemps avant qu’elles n’aient installé le correctif sur leur serveurs Exchange.
