Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Nederlandse beveiligingsonderzoekers meldden Kaseya-lekken begin april - update

De Nederlandse beveiligingsonderzoekers van het DIVD die samenwerkten met Kaseya vonden in april zeven kwetsbaarheden. In ieder geval een van de kwetsbaarheden werd misbruikt voor de grote ransomwareaanval van deze week.

De onderzoekers deelden hun bevindingen met Kaseya via het DIVD-platform, het Dutch Institute for Vulnerability Disclosure. Dat geeft een tijdlijn van de bevindingen, al geven de onderzoekers nog niet alle details prijs. DIVD schrijft in een blogpost dat het open wil zijn over de vondst, maar vanwege de richtlijnen van coordinated vulnerability disclosure nog steeds niet te veel kan zeggen. Wel bevestigen de onderzoekers definitief dat een van de kwetsbaarheden werd gebruikt om ransomware te verspreiden via de Kaseya VSA-software.

Een van de onderzoekers vond eerder dit jaar kwetsbaarheden in Kaseya VSA. Begin april begon DIVD met een scan naar kwetsbare apparaten die aan het internet hingen. Op 6 april informeerde DIVD Kaseya over de kwetsbaarheden, die in drie verschillende patchrondes werden gerepareerd. Het bedrijf patchte een van de kwetsbaarheden, CVE-2021-30116, eind juni in de SaaS-servers, maar nog niet in de VSA-software voor msp's. De kwetsbaarheid is een business logic flaw waarmee credentials kunnen worden achterhaald.

Naast het lek dat DIVD ontdekte in de software maakten de hackers volgens het platform nog gebruik van een andere kwetsbaarheid. Die was nog niet door DIVD ontdekt of doorgegeven. Het is ook niet bekend om welke kwetsbaarheid het gaat.

Update, vrijdag 11.45: Frank Breedijk, manager DIVD Csirt licht tegen Tweakers toe dat het niet simpelweg het volgen van richtlijnen van coordinated vulnerability disclosure is dat tot het besluit heeft geleid om beperkt details naar buiten te brengen. "We hebben het hier intern uitvoerig over gehad. Je wilt niet dat deze kennis op straat belandt. Als je ontdekt dat als je tegen de bumper van een BMW trapt, de deur opengaat en je weg kunt rijden, meldt je dat ook niet aan iedereen. Als je het alleen aan BMW-bezitters meldt, belandt de info ook zo op straat en leidt dat tot vele diefstallen. Je meldt het aan BMW, die het probleem kan oplossen."

DIVD wil Kaseya voldoende tijd geven om een patch uit te brengen, die dan naar een groot aantal systemen verspreidt moet zijn voor meer details naar buiten gebracht worden. Breedijk wijst ook op de impact voor bedrijven om kwetsbare Kaseya VSA-servers niet meer te gebruiken. Verder wijst hij insinuaties dat een kwetsbaarheid via DIVD is uitgelekt en zo misbruikt kon worden krachtig van de hand: "Een van de twee bij de aanvallen gebruikte kwetsbaarheden was door ons ook ontdekt. Die ander niet."

CVE-2021-30116 Credentials leak en business logic flaw
CVE-2021-30117 Sql-injectie
CVE-2021-30118 Remote code execution
CVE-2021-30119 Cross-site-scripting
CVE-2021-30120 Tweetrapsauthenticatieomzeiling
CVE-2021-30121 Local file inclusion
CVE-2021-30201 XML External Entity

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

08-07-2021 • 13:28

32 Linkedin

Reacties (32)

Wijzig sortering
Vandaag is een podcast van Cyberhelden hierover uitgekomen, waarbij Wietse Boonstra en Frank Breedijk van de DIVD worden geïnterviewd.

https://www.cyberhelden.nl/episodes/episode-27/
Interessant
Ikzelf luister de laatste tijd regelmatig Darknet Diaries. ben benieuwd of daar ook nog een episode bij gaat komen over REvil https://darknetdiaries.com/episode/
Zijn aflevering over de Grumpy Old Hackers ging over Victor Gevers die de oprichter van DIVD is en nauw betrokken is bij de Kaseya-saga
Is er dus mogelijk sprake van een lek naar de Russische hack groep?
Of is het DIVD niet veilig genoeg?
https://www.divd.nl/divd-nl/code/
Hoe controleer je of men zich aan de "code" houdt?

[Reactie gewijzigd door SED op 8 juli 2021 13:36]

Dat zal waarschijnlijk niet het geval zijn, als een ethical hacker iets vind dan kan een hacker dat ook vinden.
Als er jaren aan kans is om deze beveiligingsproblemen te vinden en het komt precies in die paar werkdagen samen met een aanval op deze software (terwijl er nog heel veel software is waar criminelen zich ook op konden richten) dan is niet zomaar af te doen als het kan nu eenmaal samenvallen.
Ze schrijven waarschijnlijk ook niet voor niets dat het lastig is om niet te veel mensen te informeren of niet te veel te zeggen.
Natuurlijk. Maar in toeval geloof ik niet in dit soort zaken.
Het is toch geen toeval dat zo'n software veel aandacht krijgt? Dus geen toeval dat er meer ogen vallen op dezelfde kwetsbaarheden? Sterker nog, goede kans dat er ook een Chineese- en Amerikaanse toko is met dezelfde kennis (die nu vloeken op de geldwolven ;) )
Waarom is dat toeval

Denk j nu echt dat de kwaadaardige hackers zo slecht zijn dat ze het van de eerlijke moeten jatten, naar als white hats zoveel beter kunnen hacken dan moeten ze toch ook beter in staat zijn die te voorkomen

Bovendien blackhats zijn veruit in de meerderheid dus als er al sprake is van enorm toeval dan is het dat whitehats de bug eerder vonden
Is ook het eerste wat ik dacht. Is elke medewerker betrouwbaar? Als je door hebt dat je met een melding aan criminelen misschien zomaar een miljoentje of wat bij geschreven kan krijgen, moet je wel heel sterk in je schoenen staan.
speculatief natuurlijk maar als de zware jongens het lek al hadden gevonden en ze daarna te weten zijn gekomen dat deze fouten in de software binnenkort verholpen worden door patches die ze uitbrengen. Dan kunnen ze ook besluiten om sneller misbruik te maken van deze fouten.

De ontdekking van DIVD is dan in dat geval niet de oorzaak dat ze misbruik kunnen maken van de kwetsbaarheden maar misschien wel een trigger voor de hackergroep om zo snel mogelijk in actie te komen onder het motto "nu het nog kan".
Natuurlijk zou het DIVD medewerkers kunnen zijn, Kaseya medewerkers, systemen van beide organisaties, etc.

Maar het is waarschijnlijker dat dergelijke hackers organisaties de software van oa. Kaseya, Solarwinds, ConnectWise, datto, etc, allang aan het doorlichten zijn omdat deze de grootste scope qua managed PCs/servers opleverd. Wat een white hat hacker kan vinden, kan ook een black hat hacker vinden...
Deze zwakke punten zitten er al jaren, maar net een paar dagen voor ze gedicht worden, worden ze gebruikt.

Natuurlijk kan in principe iedereen ze vinden, dus misschien waren ze toevallig ook al gevonden door de black hats (toevalligheid 1) en nog niet gebruikt (toevalligheid 2) maar dan nog is het wel heel toevallig dat zij precies op tijd nog even een grote actie houden (toevalligheid 3). Driedubbele toevalligheid is onwaarschijnlijk.
Sommige gaten zitten al 20+ jaar in Windows, maar heel frappant dat ze na 20 jaar worden gevonden door hackers en dan binnen een maand worden gepatched door MS... De gaten bij Solarwinds zaten er ook al jaren in voordat ze gebruikt werden.

Je drie toevalligheden zijn eigenlijk een enkele toevalligheid. Dat deze nu gevonden worden door black hats, dat ze gevonden worden is geen toevalligheid en dat ze gebruikt worden ook niet.
Wannéér een gat in Windows gevonden wordt is onvoorspelbaar, maar als dat eenmaal uitgebuit wordt, valt dat op. Dat dat dan wordt gemeld en gedicht, daar is niets toevalligs aan.


Voor hetzelfde geld wordt een zwakheid nooit gevonden, dus het is toeval of en wanneer er een gevonden wordt.

WIE hem eerst vindt is ook niet te voorspellen, ergo: toeval.

De derde toevalligheid is niet DAT ze gebruikt worden maar dat ze precies nog net op tijd, voor ze gedicht worden, gebruikt worden.

Wat Tijs een paar reacties hieronder oppert is vele malen waarschijnlijker: Dat de hackers (bijvoorbeeld) bij de mail van Kaseya-medewerkers konden en er op die manier tijdig lucht van kregen.
Kan van alles zijn.

Soms worden kwetsbaarheden gelijktijdig gevonden, er kan een lek zijn binnen Kaseya (disgruntled employee), mogelijk zaten de Russen al in de systemen van Kaseya om andere redenen en liepen ze dit tegen het lijf.
Dat lek kan zo simpel zijn als een proxy aankoop waarmee je naar hartelust kan graven naar vulns.
Of de hackersgroep had dezelfde probleemn zelf gevonden, gezien ze ook een ander gat in het systeem gevonden hebben die de DIVD zelf niet had gevonden.
Ik denk dat het aannemelijker is dat REvil toegang had tot inboxen van Kaseya-medewerkers en daar ergens het bugreport van DIVD hebben onderschept. Ook speculatie, maar lijkt me logischer dan toeval.
Hoe kom je daarbij?

Kan net zo goed een lek bij CVE of communicatie tussen kaseya en divd.nl zijn.
Heb je in de media ooit gelezen dat een "Amerikaanse hackgroep" de schuld kreeg.

Als er nationaliteit moet worden opgeplakt dan is het standaard Russisch, soms Chinees en dan zijn het altijd "staatshackers" (Alsof ze daar geen goed georganiseerde criminaliteit hebben die zoiets doet). Dat wordt er standaard opgeplakt. En dan wordt er bij verzonnen dat zulke groepen Rusland niet aanvallen, suggererend dat Putin wel medeplichtig zal zijn. Zo kan je propaganda herkennen, het bevat altijd dezelfde elementen die in eindeloze herhaling worden ingestampt. Daarin komt het overeen met reclame, maar dan anti-reclame. Maar Reclame is doorgaans wat minder leugenachtig.

Wie genoeg verstand heeft, begrijpt dat als een aanval Russisch lijkt, hij dat zeker niet is. Iedereen doet zijn uiterste best om zijn aanvallen te camoufleren als een van de tegenpartij.

[Reactie gewijzigd door Elefant op 9 juli 2021 01:17]

Zou dit gevolgen hebben voor de aansprakelijkheid? Kaseya was dus een aantal maanden op de hoogte van een ernstige kwetsbaarheid, maar heeft gefaald om het tijdig te repareren. Daarnaast hebben ze pas klanten geïnformeerd toen het actief misbruikt werd.
Op zich is het niet gek dat je je klanten niet informeert over een mogelijk probleem voordat je het oplost.
Ze hebben toch tijd nodig om een patch uit te brengen? Google stelt 90 dagen als termijn. Je gaat dit juist niet verkondigen, zolang het nog niet misbruikt wordt en je werkt aan een patch. Anders krijg je juist het probleem dat meer criminelen gaan proberen erachter te komen waar het lek zit. Dus wat mij betreft handelden ze correct.
De industrie houdt meestal zo'n 90 dagen aan voor een fatsoenlijke responsible disclosure. Kaseya was ook al heel ver met het patchen, het zat in de eindfase.
Volgens een interview met een van de beveiligingsonderzoekers was het kantjeboord fout gegaan - en is er tijdens de ontwikkeling van de fixes veelvuldig samengewerkt met de onderzoekers.

Lijkt me eerder een zeer ongelukkige timing.
Las trouwens net ook een artikel waarbij er code is gevonden waarmee de groep Russische computers probeerden te vermijden. Op zich wel logisch want de Russische regering maakt het niet veel uit of zo'n groep het westen als doel heeft. Dus voorlopig zijn ze dan veilig.

Wel vraag ik mij af hoe lang het duurt voordat er een hackersgroep naar boven komt uit bijvoorbeeld Amerika die speciaal Rusland en/of China target. En dan met dezelfde standaard berichtgeving van ontkennen e.d. Amerika heeft in het verleden wel aan te geven te gaan hacken als vergelding maar alles gewoon blijven ontkennen is misschien wel effectiever (Rusland en China doen dit tenslotte ook).

Verder zullen dit soort aanvallen zo algemeen worden dat straks ook de gewone burger getroffen wordt als er een flink lek wordt gevonden in Chrome, Firefox en/of Edge.
Wordt tijd dat er op global niveau wat acties ondernomen worden.
Dan zijn ze dus nu volledig financieel verantwoordelijk, aangezien ze al avanf april wisten van de lekken maar deze (nog) niet gepatched hebben.
Nou ik denk eeder dat het eerder patchen van de "eigen"SaaS omgeving en niet tegelijkertijd de on-premise versies van hun klanten nog wel een juridisch staartje zal krijgen.
Laat mi ook de uitspraken dat zeker hun SaaS omgeving veilig was in een ander licht zien.
Pff tricky hoor, moet je voorstellen als zoiets bij bv TeamViewer gebeurt.
Volgens mij is het ook al een keer bij TeamViewer gebeurd.
Bij een 1e overtreding moet een ban altijd tijdelijk zijn en toegelicht worden (het waarom), het is echt te gek voor woorden dat ze je account opschorten zonder enige uitleg.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True