Kaseya остави портала за клиенти уязвим за проблем през 2015 г. в собствения си софтуер – Krebs on Security

Миналата седмица киберпрестъпниците разпространиха рансъмуер на 1500 организации, включително много, които предоставят ИТ сигурност и техническа поддръжка на други компании. Нападателите са използвали уязвимост в програмата Min драпиран, компания, базирана в Маями, чиито продукти помагат на системните администратори да управляват отдалечено големи мрежи. Сега порталът за обслужване на клиенти на Kaseya изглежда е останал уязвим до миналата седмица поради недостатък в сигурността на изтичането на данни, открит за първи път в същия софтуер преди шест години.

На 3 юли а REvil партньорска програма за рансъмуер Започна да използва уязвимост от нулев ден (CVE-2021-30116) за разпространение на рансъмуер до стотици компании за управление на ИТ, работещи с софтуер за дистанционно управление Kaseya – известен като Виртуален сисадмин на Касея (VSA).

на мен Този запис е за CVE-2021-30116, недостатък в сигурността, показващ, че на Kaseya VSA е присвоен нулев ден номер на уязвимост на 2 април 2021 г., показващ Kaseya Имаше близо три месеца да обработи бъга, преди да бъде експлоатиран в дивата природа.

Също на 3 юли, компания за реагиране на инциденти в сигурността Мандант Kaseya информира, че техният сайт за фактуриране и поддръжка на клиенти –portal.kaseya.net – беше склонен към CVE-2015-2862, уязвимост „обход на директория“ в Kaseya VSA, която позволява на отдалечени потребители да четат всички файлове на сървъра, използвайки само уеб браузър.

Както подсказва името му, CVE-2015-2862 беше пуснат през юли 2015 г. Шест години по-късно порталът за клиенти на Kaseya все още беше уязвим от уязвимост при изтичане на данни.

Портал за поддръжка и фактуриране на клиенти на Kaseya. Снимка: Archive.org.

След като чу за това, Mandiant информира Каси Алекс Холдън, основател и главен технологичен директор на базираното в Милуоки електронно разузнаване договор за сигурност. Холдън каза, че уязвимостта от 2015 г. е присъствала на портала за клиенти на Kaseya до събота следобед, което му позволява да изтегли сайта. web.config файл, който е сървърен компонент, който често съдържа чувствителна информация като потребителски имена, пароли и местоположенията на основните бази данни.

„Не е като да са забравили да поправят нещо, което Microsoft е поправила преди години“, каза Холдън. „Това е кръпка за техния собствен софтуер. Не е нулев ден. Това е от 2015 г.!“

Официалното описание на CVE-2015-2862 казва, че потенциалният нападател ще трябва действително да се удостовери на сървъра, за да работи експлойтът. Но Холдън каза, че това не е случаят с уязвимостта на портала Kaseya, за която той съобщи чрез Mandiant.

„Това е по-лошо, защото CVE извиква оторизиран потребител“, каза Холдън. „Това не беше.“

Майкъл СандърсИзпълнителният вицепрезидент на Kaseya по управление на акаунтите потвърди, че клиентският портал е прекъснат в отговор на доклад за уязвимост. Сандърс каза, че порталът е спрян през 2018 г. в полза на по-модерна система за поддръжка на клиенти и билети, но по някакъв начин старият сайт все още е достъпен онлайн.

„Беше пренебрегнато, но беше оставено“, каза Сандърс.

В писмено изявление, споделено с KrebsOnSecurity, Касея каза, че през 2015 г. CERT е отчел две уязвимости в своя VSA продукт.

„Работили сме с CERT за отговорно разкриване и пуснахме кръпки за версиите VSA, R8, R9 и R9, заедно с публични разкрития (CVE) и известия до нашите клиенти. Нашият екип не счита Portal.kaseya.net за част от VSA изпращаше продукт и не беше част от корекцията на продукта VSA. През 2015 г. той няма достъп до крайните точки на клиента и е затворен – и повече няма да бъде активиран или използван от Kaseya. “

„Понастоящем няма доказателства, че този портал е участвал в инцидент за сигурност на продуктите на VSA“, продължава изявлението. „Продължаваме да извършваме съдебен анализ на системата и да изследваме данни, които вече съществуват.“

Групата за рансъмуер REvil заяви, че засегнатите организации могат да преговарят независимо с тях за ключ за дешифриране или всеки може да плати 70 милиона долара във виртуална валута, за да купи ключ, който дешифрира всички системи, компрометирани в тази атака.

Но Сандърс каза, че всеки експерт по рансъмуер, консултиран до момента, не е препоръчал преговори за един откуп, за да отключи всички жертви.

„Проблемът е, че те не разполагат с нашите данни, те имат данни на нашите клиенти“, каза Сандърс. „Бяхме посъветвани да не правим това от всяка компания за преговори за рансъмуер, с която сме имали работа. Те казаха, че с количеството отделни устройства, компрометирани и рансъмуер, ще бъде много трудно да се справим с всички тези системи наведнъж.“

Във видеоклип, публикуван в YouTube на 6 юли, главен изпълнителен директор на Kaseya Фред Фукола Той каза, че атаката на рансъмуера има „ограничен ефект, като само около 50 от над 35 000 клиенти на Cassie са компрометирани“.

„Въпреки че всеки клиент, засегнат от него, е много голям, въздействието на тази изключително сложна атака за щастие е доказано, че е силно преувеличено“, каза Фукола.

Уязвимостта от нулев ден, довела до това, че клиентите на Kaseya (и клиентите на тези клиенти) получиха откуп, беше открита и докладвана на Kaseya Wiets Boonstra, изследовател с Холандски институт за откриване на уязвимост (DIVD).

в Публикация в блога на 4 юлиDIVD Виктор Джеферс Той пише, че Каси е „много полезна“ и „задава правилните въпроси“.

„Също така с нас бяха споделени частични кръпки, за да се провери тяхната ефективност“, пише Геверс. „По време на целия процес Kaseya показа готовността си да положи максимални усилия и инициатива в този случай, за да реши този проблем и да поправи клиентите. Те показаха истински ангажимент да постъпят правилно. За съжаление бяхме победени от REvil в финално състезание, където те могат да използват уязвимости, преди клиентите дори да могат да коригират. „

Kaseya обаче все още не е пуснала официален пластир за недостатъка, който Boonstra отчете през април. драпиран За клиенти на 7 юли Работеше „цяла нощ“, за да публикува актуализацията.

Гевърс каза, че уязвимостта на Kaseya е открита като част от по-големи усилия на DIVD за търсене на критични недостатъци в широк спектър от инструменти за отдалечено управление на мрежата.

„Ние се фокусираме върху тези видове продукти, защото открихме тенденция, при която се появяват все повече и повече продукти, използвани за поддържане на мрежова сигурност и структурни уязвимости“, пише той.