Een wereldwijde ransomware-aanval die tot meest ingrijpende in zijn soort behoort, heeft al meer dan duizend bedrijven getroffen. Via een zwakte in Kaseya-software voor het beheer van systemen zijn Russische hackers bij talrijke nietsvermoedende klanten van managed service providers binnengekomen. Ook in Nederland zijn slachtoffers gemaakt. De Russische bende Revil eist een bedrag van zeventig miljoen dollar aan losgeld in ruil voor een universele sleutel.
Volgens Nos.nl zouden de hackers voor een bedrag van zeventig miljoen dollar aan cryptomunten bereid zijn een universele sleutel vrij te geven, zodat iedereen zijn bestanden terug kan krijgen.
Net als bij de SolarWinds-aanval zijn de aanvallers via een leveranciersketen binnengekomen. De Russische cyberbende Revil gebruikte een kwetsbaarheid in een de bij it-dienstenleveranciers populaire tool. Gevaar lopen klanten die een zogenaamde VSA-agent op hun beheerde systemen hebben geïnstalleerd. Een deel van de on-premise klanten heeft schade opgelopen. Aan hen wordt losgeld gevraagd. Anders dan bij de SolarWinds-aanval gaat het de hackers uitsluitend om financieel gewin en niet om cyberspionage.
Een groep Nederlandse onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) heeft de afgelopen maanden geprobeerd samen met de Amerikaanse fabrikant Kaseya de lekken in de software te dichten. Ze waren daar bijna klaar mee, maar Russische bende was hen net voor.
De bekende ethische hacker Victor Gevers meldt teleurgesteld in een tweet dat hun actie helaas tevergeefs is geweest. Volgens hem heeft de aanval zo’n grote schaal dat het wel eens kan uitgroeien tot de grootste ransomware-actie uit de geschiedenis.
Geen blaam
Volgens het securitybedrijf Eset heeft de ‘supply chain’-aanval een groot aantal landen getroffen. In het Verenigd Koninkrijk, Zuid-Afrika, Canada, Duitsland, de Verenigde Staten en Colombia zijn veel bedrijven de dupe geworden. In Zweden moest de supermarktketen Coop zaterdag alle achthonderd winkels sluiten omdat de kassa’s niet meer werkten. In Nederland behoort Hoppenbrouwers Techniek tot de slachtoffers. Volgens deze technisch dienstverlener treft het eigen personeel geen blaam. De aanval kwam via de Kaseya-software binnen zonder dat iemand daar iets aan kon doen.
Veel problemen veroorzaakte de aanval bij VelzArt uit Waardenburg (Gelderland). Deze it-dienstverlener voor het midden- en kleinbedrijf bedient via de VSA-software van Kaseya honderden klanten. Nog niet bekend is hoeveel klanten via de aanval zijn besmet. Het beeld is vrij diffuus. De hackers wisten sommige systemen volledig ontoegankelijk te maken, terwijl andere systemen nog wel werken. Zondagavond meldde VelzArt de hele nacht door te werken om zo veel mogelijk servers die onder zijn beheer staan, weer aan de praat te krijgen. Ook werkstations werden besmet. Daar waar mogelijk worden werkstations geschoond van ransomware.
Uitschakelen
Het eerdergenoemde DIVD meldde zondagmiddag dat er in Nederland geen Kaseya VSA-servers meer met internet zijn verbonden. Sinds vrijdagavond de aanval bekend werd, zijn ze allemaal ontkoppeld.
Kaseya werkt aan een patch waarmee de VSA-servers weer zijn aan te zetten. Daarnaast heeft het softwarebedrijf een detection tool ontwikkeld waarmee bedrijven kunnen nagaan of er sporen van misbruik zijn van de kwetsbaarheid in hun omgeving.
Het NCSC in Den Haag adviseerde beheerders van Kaseya VSA-servers om alle on-premise VSA-servers voorlopig uit te schakelen. Kaseya houdt voorlopig ook de saas-servers offline.
Het Dutch Institute for Vulnerability Disclosure (DIVD) doet al langer een breed onderzoek naar kwetsbaarheden in tools voor systeembeheer, met name de administratieve interfaces van deze applicaties. Victor Gevers noemt als voorbeelden producten zoals Vembu BDR, Pulse VPN en Fortinet VPN. Hij zegt: ‘We richten ons op dit soort producten omdat we een trend zagen waarbij steeds meer producten die worden gebruikt om netwerken veilig en beveiligd te houden, structurele zwakheden vertonen.’
Barracuda meldt dat voor deze aanval ook misbruik is gemaakt van een aantal Nederlandse domeinnamen. Het gaat om onschuldig klinkende domeinnamen, zoals ‘koken-voor-debaby.nl’ of ‘lachofikschiet.nl’, die door url-filters niet als potentieel risicovol worden gezien. Deze domeinnamen worden gebruikt voor het draaien van command & control-servers. De eigenaren van de meeste van deze domeinen zijn inmiddels op de hoogte gebracht.
Het is vreemd dat een bij Kaseya bekend lek zolang niet gedicht is en dat daarvan de klanten niet op de hoogte gesteld zijn. Aan dat soort software moet je op het gebied van beveiliging dus de hoogste eisen stellen. Kaseya zal wel voor de rechtbank gedaagd worden.
De massale aanval is als een militaire actie bedacht en uitgevoerd, vlak voor het weekend (“beter” was een vakantie). Ze hebben strategisch nagedacht; een aanval via centrale command and controll van Managed Service Providers. Door de aanval via beheersoftware kan de aanvaller een multiplier effect bereiken en heel veel bedrijven vrijwel tegelijkertijd aanvallen. Bedrijven die niet zijn besmet, maar dat wel hadden kunnen zijn, die vragen ook aandacht van de weinige mensen die op dat moment kunnen helpen.
Blijkbaar hadden veel eindklanten de VSA-servers niet op een apart beheernetwerk achter een goed ingerichte VPN of firewall zitten, waar alleen bekende ip-adressen toegang tot mogen krijgen via een gedegen verificatie. Zoiets kan het verschil maken tussen een beetje ongemak en een ramp.
Afgevraagd kan worden hoe slachtoffers hun archivering, backup, restore, enz. geregeld hebben. Als de infrastructuur en het beheer daarvan voor te ingewikkeld wordt, dan ben je nog niet van de risico’s af als je het beheer over de heg van een MSP gooit. Vroeger of later is er een lek waarvan misbruik gemaakt wordt. Hoe goed ben je als bedrijf of instelling daarop voorbereid?
Het is weer een interessante case om meerdere redenen.
Zo waren bepaalde mappen en bestanden “uitgesloten” van controle door virusscanners omdat de software anders zijn werk niet kan doen of verstoord zou kunnen worden. Logisch dat een aanvaller deze zwakte misbruikt.
Ook lijkt de software getroffen door SQL Injection. Dat klinkt als vrij ernstig aangezien SQL Injection op nummer 1 staat in de OWASP (gevaarlijkste kwetsbaarheden) top tien! En dat voor een product wat juist gemaakt is om veiligheid te bieden.
Maar intrigerende vond ik deze tweet als reactie op de tweet van Victor Gevers:
https://twitter.com/Malwa…/1411793853770723329?s=20
“Do you think it’s possible the attackers could have intercepted the bug report somehow? The fact they hit right before the patch combined with the attack looking pretty rushed makes me wonder if maybe they already had a foothold on Kaseya’s ticket system or something.”
En Victor zijn antwoord:”That is a good question. The vulnerabilities and all the other research findings were reported by email. How they were administratively processed afterward is unknown to us.”
Er zijn hier dus drie extra scenario’s / attack vectors.
Bug report DIVD, wie kan die allemaal zien?
Communicatie tussen DIVD – Kaseya per mail
Bug report Kaseya., wie kan die allemaal zien?
Het is meer dat ik me nu pas realiseer hoe gevoelig die data dus is.
Henri,
Aanvalspunt is in elk geval niet de gebruiker, de opmerking van Rickey Gevers over structurele zwakheden in beheertools is interessant want vaak kennen deze ook verhoogde rechten en wordt er vrijwel nooit van MFA gebruik gemaakt terwijl er meestal ook geen sprake is van netwerk segmentatie. Nu ben ik natuurlijk geen beveiligingsonderzoeker maar ik hoor wel iets over de noodzaak van onderzoek naar zwakheden en de gevoeligheid van gevonden zwakheden terwijl DIVD niet door de overheid gesubsidieerd wordt. Ik kreeg dan ook even een déjà vu naar 22 januari 2013 toen NCSC de echte beveiligingsonderzoekers buiten de deur hield en ze daarom een alternatief security congres organiseerden.
Er is nog altijd een lucratieve handel in zwakheden en deze 0-day markt geeft wel de essentie aan van het spel want is ransomware niet gewoon de exitstrategie van de verschoeide aarde?
Security wise zijn er met dit soort (RMM-)tools nogal wat uitdagingen. Ze draaien doorgaans op basis van een publieke cloud en verschillende “tenants”; meestal een per MS(S)P. Dit wil zeggen dat updates van software componenten en instellingen gepushed worden naar alle MS(S)P’s en vervolgens naar al de Windows systemen van hun klanten. Met als randvoorwaarde de nodig rechten om dat voor elkaar te krijgen. En ja – als er dan ergens een software component besmet is, dan is het een kwestie van tijd…
Een gezonde dosis wantrouwen combineren met interne en externe netwerk scanners (d.w.z. scannen op open TCP-poorten en netwerk verkeer) voorkomt veel ellende.
Een vergelijkbare situatie speelt er ook bij SDN/SD-WAN/SASE – alleen ligt hier het zwaartepunt meer bij het beheer van netwerk apparatuur; waaronder IDS/IPS- en VPN-achtigen. Aan de andere kant – het marktpotentieel is voor hackers niet zo heel groot. Waardoor de risico’s wat minder/kleiner zijn.
Ik wil niet beweren dat er gelekt kan zijn in de keten van hulptroepen van Kaseya, zoals sommigen suggereren. De research van Revil kan gewoon een te grote voorsprong hebben gehad. Maar met veel mensen aan een zo’n geheim project laten werken is risicovol als iedereen weet waarom en waarover het gaat. Als je aan zoiets gaat werken, dan moet je er voor zorgen dat weinig mensen het overzicht hebben. Bij defensie delen ze de kennis in stukjes. De aanvallers die de aanval oefenen, die kennen het doel pas op het laatste moment. Kennis compartimentering doen ze misschien ook wel bij de tegenstander.
Voor mij was het meer een eye-opener hoe gevoelig die data is en dat je dus heel bewust moet zijn hoe je zo’n kwetsbaarheid deelt met een organisatie. Ik huur ook wel eens mensen in die dan werken in het ticket systeem waarin dus ook de bugs worden gerapporteerd. Of medewerkers die niet ontwikkelen, maar wel in principe de rechten hebben om ook die tickets te zien. Naar aanleiding van dit inzicht ben ik dus meteen intern een proces aan het aanpassen en dat zal ik dus ook doen met de responsible disclosure procedure. Ik bied nu nog geen mogelijkheden om dit versleuteld te doen. Twee controls die in de ISO 27001 thuis horen.:-)
Als we het dan toch over “lekken” en eye-openers hebben:
De afgelopen jaren heb ik de nodige (geautomatiseerde) kwetsbaarheden scans uitgevoerd. En in elke scan kom je de nodige CVS/CVE’s tegen die niet opgelost zijn; aldus de scanners van (bijvoorbeeld) een Tenable, Qualys of Greenbone.
Hierdoor is (bij mij dan toch) het beeld ontstaan dat software fabrikanten kwetsbaarheden wel publiceren. Maar waarschijnlijk niet alles (aanname!) en ook lang niet alles aangepakt wordt. Wat in de praktijk wil zeggen dat er eigenlijk alleen een fix gemaakt wordt als er ergens op deze aardkloot sprake is van misbruik met enige omvang.
Dat beeld lijkt te worden bevestigd door het uitbrengen van fixes voor CVS/CVE’s die eigenlijk al jaren bekend zijn. Maar pas sinds “kort” ergens misbruikt worden…
Dus tja – of je dat dan als een “lek” moet zien weet ik niet – veel is beschikbaar voor het grote publiek. Alleen niet in een zodanig format dat je er wat mee kan.
Zo krijg ik nog steeds wekelijks een e-mail van Qualys met “nieuwe” kwetsbaarheden. Maar ik kan er verder niks of niet veel mee. Anders dan wekelijks een paar TCP-port scans om op die manier de kans op misbruik tot een minimum terug te brengen.
Bitdefender heeft een gratis sleutel vrijgegeven voor o.a. Kaseya klanten die slachtoffer zijn geworden van REvil-ransomware. Zie https://www.bitdefender.com/blog/labs/bitdefender-offers-free-universal-decryptor-for-revil-sodinokibi-ransomware/ voor de download.