Kaseya dejó el portal de clientes susceptible a fallas de 2015 en su propio program: Krebs on Protection


La semana pasada, los ciberdelincuentes desplegaron ransomware en 1.500 organizaciones que brindan seguridad de TI y soporte técnico a muchas otras empresas. Los atacantes aprovecharon una vulnerabilidad en el application de Kaseya, una empresa con sede en Miami cuyos productos ayudan a los administradores de sistemas a gestionar grandes redes de forma remota. Ahora parece que el portal de servicio al cliente de Kaseya quedó vulnerable hasta la semana pasada a una falla de seguridad de fuga de datos que se identificó por primera vez en el mismo software package hace seis años.

El 3 de julio, el programa de afiliados de REvil ransomware comenzó a utilizar un agujero de seguridad de día cero (CVE-2021-30116) para implementar ransomware en cientos de empresas de gestión de TI que ejecutan el software program de gestión remota de Kaseya, conocido como Administrador del sistema virtual de Kaseya (VSA).

De acuerdo a esta entrada para CVE-2021-30116, la falla de seguridad que impulsa a Kaseya VSA de día cero se le asignó un número de vulnerabilidad el 2 de abril de 2021, lo que indica que Kaseya tenía aproximadamente tres meses para solucionar el mistake antes de que fuera explotado en la naturaleza.

También el 3 de julio, la empresa de respuesta a incidentes de seguridad Mandiant notificó a Kaseya que su sitio de facturación y atención al cliente –portal.kaseya.internet – period vulnerable a CVE-2015-2862, una vulnerabilidad de «recorrido de directorio» en Kaseya VSA que permite a los usuarios remotos leer cualquier archivo en el servidor usando nada más que un navegador world wide web.

Como sugiere su nombre, CVE-2015-2862 se emitió en julio de 2015. Seis años después, el portal de clientes de Kaseya todavía estaba expuesto a la debilidad de la filtración de datos.

El portal de facturación y soporte al cliente de Kaseya. Imagen: Archive.org.

Mandiant notificó a Kaseya después de escucharlo de Alex Holden, fundador y director de tecnología de la empresa de inteligencia cibernética con sede en Milwaukee Mantenga la seguridad. Holden dijo que la vulnerabilidad de 2015 estuvo presente en el portal de clientes de Kaseya hasta el sábado por la tarde, lo que le permitió descargar el sitio Archivo «web.config», un componente del servidor que a menudo contiene información confidencial como nombres de usuario y contraseñas y la ubicación de las bases de datos clave.

«No es que se hayan olvidado de parchear algo que Microsoft arregló hace años», dijo Holden. “Es un parche para su propio application. Y no es de día cero. ¡Es de 2015! «

La descripción oficial de CVE-2015-2862 dice que un posible atacante ya debería estar autenticado en el servidor para que funcione el exploit. Pero Holden dijo que ese no period el caso con la vulnerabilidad en el portal Kaseya que informó a través de Mandiant.

“Esto es peor porque el CVE requiere un usuario autenticado”, dijo Holden. «Esto no fue».

Michael Sanders, vicepresidente ejecutivo de gestión de cuentas de Kaseya, confirmó que el portal del cliente se desconectó en respuesta a un informe de vulnerabilidad. Sanders dijo que el portal se había retirado en 2018 a favor de un sistema más moderno de atención al cliente y venta de entradas, pero de alguna manera el sitio antiguo todavía estaba disponible en línea.

«Estaba en desuso, pero se dejó», dijo Sanders.

En una declaración escrita compartida con KrebsOnSecurity, Kaseya dijo que en 2015 CERT informó dos vulnerabilidades en su producto VSA.

“Trabajamos con CERT en la divulgación responsable y lanzamos parches para las versiones VSA V7, R8, R9 y R9 junto con la divulgación pública (CVE) y las notificaciones a nuestros clientes. Nuestro equipo no consideró que Portal.kaseya.internet formara parte del producto de envío de VSA y no formaba parte del parche de producto de VSA en 2015. No tiene acceso a los puntos finales de los clientes y se ha cerrado, y ya no estará habilitado. o utilizado por Kaseya «.

«En este momento, no hay evidencia de que este portal haya estado involucrado en el incidente de seguridad del producto VSA», continuó el comunicado. «Seguimos realizando análisis forenses en el sistema e investigando qué datos hay realmente».

El grupo de ransomware REvil dijo que las organizaciones afectadas podrían negociar de forma independiente con ellas una clave de descifrado, o que alguien podría pagar 70 millones de dólares en moneda digital para comprar una clave que funcione para descifrar todos los sistemas comprometidos en este ataque.

Pero Sanders dijo que todos los expertos en ransomware que Kaseya consultó hasta ahora desaconsejaron negociar un rescate para desbloquear a todas las víctimas.

«El problema es que no tienen nuestros datos, tienen los datos de nuestros clientes», dijo Sanders. «Todas las empresas negociadoras de ransomware con las que hemos tratado nos han aconsejado que no hagamos eso. Dijeron que con la cantidad de máquinas individuales pirateadas y rescatadas, sería muy difícil reparar todos estos sistemas a la vez «.

En un video publicado en Youtube el 6 de julio, el CEO de Kaseya Fred Voccola dijo que el ataque de ransomware tuvo «un impacto limitado, con solo aproximadamente 50 de los más de 35,000 clientes de Kaseya siendo violados».

“Si bien todos y cada uno de los clientes afectados son demasiados, el impacto de este ataque altamente sofisticado ha demostrado ser, afortunadamente, muy exagerado”, dijo Voccola.

(incrustar) https://www.youtube.com/view?v=XfAyutRfy2A (/ incrustar)

La vulnerabilidad de día cero que llevó a los clientes de Kaseya (y los clientes de esos clientes) a obtener un rescate fue descubierta e informada a Kaseya por Wietse Boonstra, un investigador con el Instituto Holandés de Divulgación de Vulnerabilidades (DIVD).

En una publicación de blog del 4 de julio, DIVD Victor Gevers escribió que Kaseya fue «muy cooperativo» y «hizo las preguntas correctas».

«Además, se compartieron con nosotros parches parciales para validar su eficacia», escribió Gevers. “Durante todo el proceso, Kaseya ha demostrado que estaban dispuestos a poner el máximo esfuerzo e iniciativa en este caso, tanto para solucionar este problema como para reparar a sus clientes. Mostraron un compromiso genuino por hacer lo correcto. Desafortunadamente, REvil nos derrotó en el sprint last, ya que podían explotar las vulnerabilidades antes de que los clientes pudieran parchear «.

Aún así, Kaseya aún no ha emitido un parche oficial para la falla que Boonstra informó en abril. Kaseya dijo a los clientes el 7 de julio que estaba trabajando «toda la noche» para publicar una actualización.

Gevers dijo que la vulnerabilidad de Kaseya fue descubierta como parte de un esfuerzo mayor de DIVD para buscar fallas graves en una amplia gama de herramientas de administración de purple remota.

“Nos estamos enfocando en este tipo de productos porque detectamos una tendencia en la que cada vez más productos que se utilizan para mantener las redes seguras y protegidas muestran debilidades estructurales”, escribió.





Enlace a la noticia original