Nederlandse beveiligingsonderzoekers meldden Kaseya-lekken begin april - update

De Nederlandse beveiligingsonderzoekers van het DIVD die samenwerkten met Kaseya vonden in april zeven kwetsbaarheden. In ieder geval een van de kwetsbaarheden werd misbruikt voor de grote ransomwareaanval van deze week.

De onderzoekers deelden hun bevindingen met Kaseya via het DIVD-platform, het Dutch Institute for Vulnerability Disclosure. Dat geeft een tijdlijn van de bevindingen, al geven de onderzoekers nog niet alle details prijs. DIVD schrijft in een blogpost dat het open wil zijn over de vondst, maar vanwege de richtlijnen van coordinated vulnerability disclosure nog steeds niet te veel kan zeggen. Wel bevestigen de onderzoekers definitief dat een van de kwetsbaarheden werd gebruikt om ransomware te verspreiden via de Kaseya VSA-software.

Een van de onderzoekers vond eerder dit jaar kwetsbaarheden in Kaseya VSA. Begin april begon DIVD met een scan naar kwetsbare apparaten die aan het internet hingen. Op 6 april informeerde DIVD Kaseya over de kwetsbaarheden, die in drie verschillende patchrondes werden gerepareerd. Het bedrijf patchte een van de kwetsbaarheden, CVE-2021-30116, eind juni in de SaaS-servers, maar nog niet in de VSA-software voor msp's. De kwetsbaarheid is een business logic flaw waarmee credentials kunnen worden achterhaald.

Naast het lek dat DIVD ontdekte in de software maakten de hackers volgens het platform nog gebruik van een andere kwetsbaarheid. Die was nog niet door DIVD ontdekt of doorgegeven. Het is ook niet bekend om welke kwetsbaarheid het gaat.

Update, vrijdag 11.45: Frank Breedijk, manager DIVD Csirt licht tegen Tweakers toe dat het niet simpelweg het volgen van richtlijnen van coordinated vulnerability disclosure is dat tot het besluit heeft geleid om beperkt details naar buiten te brengen. "We hebben het hier intern uitvoerig over gehad. Je wilt niet dat deze kennis op straat belandt. Als je ontdekt dat als je tegen de bumper van een BMW trapt, de deur opengaat en je weg kunt rijden, meldt je dat ook niet aan iedereen. Als je het alleen aan BMW-bezitters meldt, belandt de info ook zo op straat en leidt dat tot vele diefstallen. Je meldt het aan BMW, die het probleem kan oplossen."

DIVD wil Kaseya voldoende tijd geven om een patch uit te brengen, die dan naar een groot aantal systemen verspreidt moet zijn voor meer details naar buiten gebracht worden. Breedijk wijst ook op de impact voor bedrijven om kwetsbare Kaseya VSA-servers niet meer te gebruiken. Verder wijst hij insinuaties dat een kwetsbaarheid via DIVD is uitgelekt en zo misbruikt kon worden krachtig van de hand: "Een van de twee bij de aanvallen gebruikte kwetsbaarheden was door ons ook ontdekt. Die ander niet."

CVE-2021-30116 Credentials leak en business logic flaw
CVE-2021-30117 Sql-injectie
CVE-2021-30118 Remote code execution
CVE-2021-30119 Cross-site-scripting
CVE-2021-30120 Tweetrapsauthenticatieomzeiling
CVE-2021-30121 Local file inclusion
CVE-2021-30201 XML External Entity

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 08-07-2021 13:2832

08-07-2021 • 13:28

32 Linkedin

Lees meer

Ransomware in Kaseya-systemen
Beveiliging en antivirus

6 jul 2021

Ransomware in Kaseya-systemen

Wat weten we allemaal over de aanvallen?

79
Singlesign-onplatform Okta begint onderzoek na claims over hack Nieuws van 22 maart 2022
DIVD mag als eerste onafhankelijke Nederlandse partij CVE-nummers registreren Nieuws van 2 februari 2022
DIVD krijgt 88.000 euro voor opzetten van bugbountyprogramma Nieuws van 12 januari 2022
Zes Nederlandse projecten krijgen subsidie voor vergroten cyberweerbaarheid Nieuws van 28 december 2021
KvK: Nederlandse bedrijven krijgen wekelijks 294 cyberaanvallen te verwerken Nieuws van 4 oktober 2021
'FBI hield decryptor REvil-ransomware bijna drie weken lang voor zichzelf' Nieuws van 22 september 2021
Onderzoekers konden code uitvoeren in VembuBDR-back-upsoftware door lek Nieuws van 25 augustus 2021
Kaseya zegt niet te hebben betaald voor ransomwaredecryptor Nieuws van 26 juli 2021
Kaseya krijgt van onbekende partij decryptor voor REvil-ransomware Nieuws van 23 juli 2021
Antwerps IT-bedrijf betaalt 252.000 euro losgeld na ransomware-aanval - update Nieuws van 12 juli 2021
Bloomberg: ex-werknemers waarschuwden voor gebrekkige security bij Kaseya Nieuws van 11 juli 2021
Kaseya-servers blijven offline door fout in uitrol Nieuws van 7 juli 2021
REvil eist cyberaanval Kaseya op en zegt dat miljoen systemen geïnfecteerd zijn Nieuws van 5 juli 2021
Zweedse supermarktketen sluit 500 winkels na cyberaanval op Kaseya Nieuws van 4 juli 2021
Maker it-managementsoftware Kaseya getroffen door 'supply chain attack' Nieuws van 3 juli 2021
Meer producten en artikelen
Beveiliging en antivirus Kaseya

Reacties (32)

-Moderatie-faq
32
32
18
2
0
10
Wijzig sortering
segil
8 juli 2021 13:41
Vandaag is een podcast van Cyberhelden hierover uitgekomen, waarbij Wietse Boonstra en Frank Breedijk van de DIVD worden geïnterviewd.

https://www.cyberhelden.nl/episodes/episode-27/
PommeFritz
@segil8 juli 2021 14:06
Interessant
Ikzelf luister de laatste tijd regelmatig Darknet Diaries. ben benieuwd of daar ook nog een episode bij gaat komen over REvil https://darknetdiaries.com/episode/
AuteurTijsZonderH
@PommeFritz8 juli 2021 14:08
Zijn aflevering over de Grumpy Old Hackers ging over Victor Gevers die de oprichter van DIVD is en nauw betrokken is bij de Kaseya-saga
SED
8 juli 2021 13:31
Is er dus mogelijk sprake van een lek naar de Russische hack groep?
Of is het DIVD niet veilig genoeg?
https://www.divd.nl/divd-nl/code/
Hoe controleer je of men zich aan de "code" houdt?

[Reactie gewijzigd door SED op 8 juli 2021 13:36]

ThaBilly
@SED8 juli 2021 13:35
Dat zal waarschijnlijk niet het geval zijn, als een ethical hacker iets vind dan kan een hacker dat ook vinden.
kodak
@ThaBilly8 juli 2021 15:36
Als er jaren aan kans is om deze beveiligingsproblemen te vinden en het komt precies in die paar werkdagen samen met een aanval op deze software (terwijl er nog heel veel software is waar criminelen zich ook op konden richten) dan is niet zomaar af te doen als het kan nu eenmaal samenvallen.
Ze schrijven waarschijnlijk ook niet voor niets dat het lastig is om niet te veel mensen te informeren of niet te veel te zeggen.
SED
@ThaBilly8 juli 2021 13:37
Natuurlijk. Maar in toeval geloof ik niet in dit soort zaken.
MiesvanderLippe
@SED8 juli 2021 13:46
Het is toch geen toeval dat zo'n software veel aandacht krijgt? Dus geen toeval dat er meer ogen vallen op dezelfde kwetsbaarheden? Sterker nog, goede kans dat er ook een Chineese- en Amerikaanse toko is met dezelfde kennis (die nu vloeken op de geldwolven ;) )
i-chat
@SED8 juli 2021 13:49
Waarom is dat toeval

Denk j nu echt dat de kwaadaardige hackers zo slecht zijn dat ze het van de eerlijke moeten jatten, naar als white hats zoveel beter kunnen hacken dan moeten ze toch ook beter in staat zijn die te voorkomen

Bovendien blackhats zijn veruit in de meerderheid dus als er al sprake is van enorm toeval dan is het dat whitehats de bug eerder vonden
Automark
@SED8 juli 2021 14:34
Is ook het eerste wat ik dacht. Is elke medewerker betrouwbaar? Als je door hebt dat je met een melding aan criminelen misschien zomaar een miljoentje of wat bij geschreven kan krijgen, moet je wel heel sterk in je schoenen staan.
ericpronkcom
@SED8 juli 2021 15:38
speculatief natuurlijk maar als de zware jongens het lek al hadden gevonden en ze daarna te weten zijn gekomen dat deze fouten in de software binnenkort verholpen worden door patches die ze uitbrengen. Dan kunnen ze ook besluiten om sneller misbruik te maken van deze fouten.

De ontdekking van DIVD is dan in dat geval niet de oorzaak dat ze misbruik kunnen maken van de kwetsbaarheden maar misschien wel een trigger voor de hackergroep om zo snel mogelijk in actie te komen onder het motto "nu het nog kan".
Cergorach
@SED8 juli 2021 17:50
Natuurlijk zou het DIVD medewerkers kunnen zijn, Kaseya medewerkers, systemen van beide organisaties, etc.

Maar het is waarschijnlijker dat dergelijke hackers organisaties de software van oa. Kaseya, Solarwinds, ConnectWise, datto, etc, allang aan het doorlichten zijn omdat deze de grootste scope qua managed PCs/servers opleverd. Wat een white hat hacker kan vinden, kan ook een black hat hacker vinden...
laptopleon
@Cergorach9 juli 2021 00:36
Deze zwakke punten zitten er al jaren, maar net een paar dagen voor ze gedicht worden, worden ze gebruikt.

Natuurlijk kan in principe iedereen ze vinden, dus misschien waren ze toevallig ook al gevonden door de black hats (toevalligheid 1) en nog niet gebruikt (toevalligheid 2) maar dan nog is het wel heel toevallig dat zij precies op tijd nog even een grote actie houden (toevalligheid 3). Driedubbele toevalligheid is onwaarschijnlijk.
Cergorach
@laptopleon9 juli 2021 09:07
Sommige gaten zitten al 20+ jaar in Windows, maar heel frappant dat ze na 20 jaar worden gevonden door hackers en dan binnen een maand worden gepatched door MS... De gaten bij Solarwinds zaten er ook al jaren in voordat ze gebruikt werden.

Je drie toevalligheden zijn eigenlijk een enkele toevalligheid. Dat deze nu gevonden worden door black hats, dat ze gevonden worden is geen toevalligheid en dat ze gebruikt worden ook niet.
laptopleon
@Cergorach9 juli 2021 10:09
Wannéér een gat in Windows gevonden wordt is onvoorspelbaar, maar als dat eenmaal uitgebuit wordt, valt dat op. Dat dat dan wordt gemeld en gedicht, daar is niets toevalligs aan.


Voor hetzelfde geld wordt een zwakheid nooit gevonden, dus het is toeval of en wanneer er een gevonden wordt.

WIE hem eerst vindt is ook niet te voorspellen, ergo: toeval.

De derde toevalligheid is niet DAT ze gebruikt worden maar dat ze precies nog net op tijd, voor ze gedicht worden, gebruikt worden.

Wat Tijs een paar reacties hieronder oppert is vele malen waarschijnlijker: Dat de hackers (bijvoorbeeld) bij de mail van Kaseya-medewerkers konden en er op die manier tijdig lucht van kregen.
RobbieB
@SED8 juli 2021 13:37
Kan van alles zijn.

Soms worden kwetsbaarheden gelijktijdig gevonden, er kan een lek zijn binnen Kaseya (disgruntled employee), mogelijk zaten de Russen al in de systemen van Kaseya om andere redenen en liepen ze dit tegen het lijf.
alt-92
@SED8 juli 2021 13:37
Dat lek kan zo simpel zijn als een proxy aankoop waarmee je naar hartelust kan graven naar vulns.
SunnieNL
@SED8 juli 2021 13:37
Of de hackersgroep had dezelfde probleemn zelf gevonden, gezien ze ook een ander gat in het systeem gevonden hebben die de DIVD zelf niet had gevonden.
AuteurTijsZonderH
@SED8 juli 2021 13:42
Ik denk dat het aannemelijker is dat REvil toegang had tot inboxen van Kaseya-medewerkers en daar ergens het bugreport van DIVD hebben onderschept. Ook speculatie, maar lijkt me logischer dan toeval.
Xander2
@SED8 juli 2021 13:42
Hoe kom je daarbij?

Kan net zo goed een lek bij CVE of communicatie tussen kaseya en divd.nl zijn.
Elefant
@SED8 juli 2021 17:00
Heb je in de media ooit gelezen dat een "Amerikaanse hackgroep" de schuld kreeg.

Als er nationaliteit moet worden opgeplakt dan is het standaard Russisch, soms Chinees en dan zijn het altijd "staatshackers" (Alsof ze daar geen goed georganiseerde criminaliteit hebben die zoiets doet). Dat wordt er standaard opgeplakt. En dan wordt er bij verzonnen dat zulke groepen Rusland niet aanvallen, suggererend dat Putin wel medeplichtig zal zijn. Zo kan je propaganda herkennen, het bevat altijd dezelfde elementen die in eindeloze herhaling worden ingestampt. Daarin komt het overeen met reclame, maar dan anti-reclame. Maar Reclame is doorgaans wat minder leugenachtig.

Wie genoeg verstand heeft, begrijpt dat als een aanval Russisch lijkt, hij dat zeker niet is. Iedereen doet zijn uiterste best om zijn aanvallen te camoufleren als een van de tegenpartij.

[Reactie gewijzigd door Elefant op 9 juli 2021 01:17]

MuKkEzZz
8 juli 2021 13:38
Zou dit gevolgen hebben voor de aansprakelijkheid? Kaseya was dus een aantal maanden op de hoogte van een ernstige kwetsbaarheid, maar heeft gefaald om het tijdig te repareren. Daarnaast hebben ze pas klanten geïnformeerd toen het actief misbruikt werd.
Haribo112
@MuKkEzZz8 juli 2021 13:41
Op zich is het niet gek dat je je klanten niet informeert over een mogelijk probleem voordat je het oplost.
segil
@MuKkEzZz8 juli 2021 13:43
Ze hebben toch tijd nodig om een patch uit te brengen? Google stelt 90 dagen als termijn. Je gaat dit juist niet verkondigen, zolang het nog niet misbruikt wordt en je werkt aan een patch. Anders krijg je juist het probleem dat meer criminelen gaan proberen erachter te komen waar het lek zit. Dus wat mij betreft handelden ze correct.
AuteurTijsZonderH
@MuKkEzZz8 juli 2021 13:43
De industrie houdt meestal zo'n 90 dagen aan voor een fatsoenlijke responsible disclosure. Kaseya was ook al heel ver met het patchen, het zat in de eindfase.
ikt
@MuKkEzZz8 juli 2021 14:24
Volgens een interview met een van de beveiligingsonderzoekers was het kantjeboord fout gegaan - en is er tijdens de ontwikkeling van de fixes veelvuldig samengewerkt met de onderzoekers.

Lijkt me eerder een zeer ongelukkige timing.
dvdmeer
8 juli 2021 13:43
Las trouwens net ook een artikel waarbij er code is gevonden waarmee de groep Russische computers probeerden te vermijden. Op zich wel logisch want de Russische regering maakt het niet veel uit of zo'n groep het westen als doel heeft. Dus voorlopig zijn ze dan veilig.

Wel vraag ik mij af hoe lang het duurt voordat er een hackersgroep naar boven komt uit bijvoorbeeld Amerika die speciaal Rusland en/of China target. En dan met dezelfde standaard berichtgeving van ontkennen e.d. Amerika heeft in het verleden wel aan te geven te gaan hacken als vergelding maar alles gewoon blijven ontkennen is misschien wel effectiever (Rusland en China doen dit tenslotte ook).

Verder zullen dit soort aanvallen zo algemeen worden dat straks ook de gewone burger getroffen wordt als er een flink lek wordt gevonden in Chrome, Firefox en/of Edge.
Wordt tijd dat er op global niveau wat acties ondernomen worden.
bArAbAtsbB
8 juli 2021 14:43
Dan zijn ze dus nu volledig financieel verantwoordelijk, aangezien ze al avanf april wisten van de lekken maar deze (nog) niet gepatched hebben.
PipodeCl0wn
@bArAbAtsbB8 juli 2021 15:27
Nou ik denk eeder dat het eerder patchen van de "eigen"SaaS omgeving en niet tegelijkertijd de on-premise versies van hun klanten nog wel een juridisch staartje zal krijgen.
Laat mi ook de uitspraken dat zeker hun SaaS omgeving veilig was in een ander licht zien.
OMEGA_ReD
8 juli 2021 16:19
Pff tricky hoor, moet je voorstellen als zoiets bij bv TeamViewer gebeurt.
Trommelrem
@OMEGA_ReD8 juli 2021 20:49
Volgens mij is het ook al een keer bij TeamViewer gebeurd.
bArAbAtsbB
9 juli 2021 07:28
Bij een 1e overtreding moet een ban altijd tijdelijk zijn en toegelicht worden (het waarom), het is echt te gek voor woorden dat ze je account opschorten zonder enige uitleg.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee