Nederlandse ethische hackers, verenigd in Dutch Institute for Vulnerability Disclosure (DIVD) hebben al in april van dit jaar verschillende kwetsbaarheden in het Kaseya Virtual System Administrator (VSA) product ontdekt. Het patchingproces kwam net te laat voor de hack.
De hack van de VSA-oplossing van Kaseya door hackersgroep REvil blijft in de securitywereld de gemoederen bezighouden. Zo blijkt onder meer dat kwetsbaarheden van het VSA-product al enige maanden bekend waren en dat een patchproces in gang was gezet. De aanval van de hackers kwam echter te vroeg om het hele patchproces te voltooien, met alle nu bekende gevolgen van dien.
Zeven gevonden kwetsbaarheden
In april van dit jaar hebben Nederlandse ethische hackers, verenigd in het Dutch Institute for Vulnerability Disclosure (DIVD), zeven verschillende securitykwetsbaarheden in de VSA-oplossing. Met VSA kunnen klanten van Kaseya hun infrastructuur en die van hun eigen klanten in de gaten houden en beheren.
Het ging hierbij om de kwetsbaarheden CVE-2021-30118 voor remote execution, SQL injection-kwetsbaarheid CVE-2021-30117, CVE-2021-30121 voor local files en XML External Entity-kwetsbaarheid CVE-2021-30201. Ook heeft het betrekking op CVE-2021-30116 die leidt tot het lekken van credentials en business logic flaw, de kwetsbaarheid CVE-2021-30119 die cross site scripting mogelijk maakt en CVE-2021-30120 voor 2FA bypass.
Patches al uitgebracht
De eerste vier kwetsbaarheden werden door Kaseya al in april en mei gepatcht. Daarna stonden de andere kwetsbaarheden op de rol, maar die werden helaas ingehaald door de hack van REvil. De REvil-hackers hebben daarbij onder meer de CVE-2021-30116, de kwetsbaarheid voor het lekken van credentials en business logic flaw, uitgebuit.
Schuld ligt niet bij Kaseya
De ethische hackers van DIVD leggen de schuld van de hack niet bij Kaseya. Volgens hen heeft de leverancier adequaat gehandeld nadat de kwetsbaarheden in VSA werden gemeld. Kaseya had alleen de pech dat de hackers net iets sneller waren dan het uitbrengen van de patches. Het DIVD blijft voorlopig de gevolgen van de hack en de reactie van de leverancier in de gaten houden. Pas als alles is gerepareerd komt het DIVD met een full disclosure over de gevonden kwetsbaarheden.
12 uur geleden
