La semana pasada, los ciberdelincuentes desplegaron ransomware en 1.500 empresas que proporcionaban seguridad de TI y asistencia técnica a otras empresas. Los atacantes aprovecharon la vulnerabilidad en el software. Casey, Una empresa con sede en Miami cuyos productos permiten a los administradores de sistemas gestionar grandes redes de forma remota. Ahora se sabe que el portal de servicio al cliente de Casey era vulnerable hasta la semana pasada a una falla de seguridad de fuga de datos que se detectó por primera vez en el mismo software hace seis años.
El 3 de julio Restaurar el programa de afiliados de ransomware Comienza a usar el agujero de seguridad de día cero (CVE-2021-30116) Para ejecutar ransomware para cientos de empresas de gestión de TI que ejecutan el software de gestión remota de Casey, denominado Administrador del sistema virtual Casey (VSA).
De acuerdo a Esta entrada es para CVE-2021-30116, Casey VSA zero-day 2 de abril de 2021 número de seguridad de asignación de vulnerabilidad, que se refiere a Casey El error tuvo unos tres meses para solucionarlo antes del saqueo en el bosque..
El 3 de julio, la agencia de respuesta a incidentes de seguridad Mandiant Informé a Casey de que su sitio de facturación y atención al cliente:portal.kaseya.net – Tiene vulnerabilidad CVE-2015-2862, Una vulnerabilidad de «recorrido de directorio» en Casey VSA que permite a los usuarios remotos leer cualquier archivo en el servidor sin usar nada más que un navegador web.
Como su nombre indica, CVE-2015-2862 se emitió en julio de 2015. Seis años después, el portal de clientes de Casey todavía sufre vulnerabilidades de fuga de datos.
Portal de facturación y atención al cliente de Casey. Imagen: Archive.org.
Mandiant informó a Casey después de escucharlo. Alex Holden, Fundador y Director de Tecnología de Milwaukee Cyber Intelligence Aférrate a la seguridad. Holden dijo que 2015 fue vulnerable al portal de clientes de Casey hasta el sábado por la tarde, lo que permitió descargar el sitio. Archivo «Web.config», El componente del servidor que a menudo contiene información confidencial como nombres de usuario y contraseñas y ubicaciones de bases de datos clave.
«Microsoft no parece haberse olvidado de parchear lo que arreglaron hace años», dijo Holden. “Este es un parche para su propio software. Y este no es un día cero. ¡Esto es de 2015! «
La descripción oficial de CVE-2015-2862 establece que el atacante ya debe autenticar el servidor para realizar el exploit. Pero Holden dijo que eso no sucedió debido a una vulnerabilidad en el portal de Casey que informó a través de Masiant.
«Es peor porque el CVE llama al usuario autorizado», dijo Holden. «Que no es.»
Michael Saunders, Vicepresidente ejecutivo de gestión de cuentas de Casey, confirmó que el portal del cliente se desconectó en respuesta al informe de vulnerabilidad. Sanders dijo que el portal se retiró en 2018 a favor de un enfoque más avanzado de atención al cliente y emisión de boletos, pero el sitio anterior todavía está disponible en línea.
«Se eliminó, pero se dejó fuera», dijo Sanders.
En una declaración escrita compartida con Krebson Security, Casey informó que en 2015, CERT informó dos vulnerabilidades en su producto VSA.
«Hemos trabajado con CERT en la divulgación responsable y hemos publicado divulgaciones públicas (CVE) y notificaciones a nuestros clientes, incluidas las versiones VSA V7, R8, R9 y R9. El producto no forma parte del parche, no tiene acceso a los puntos finales de los clientes y está cerrado, y Casey ya no puede utilizarlo ni utilizarlo «.
«En este momento, no hay evidencia de que este portal haya estado involucrado en el incidente de seguridad del producto VSA», continuó el comunicado. «Continuamos con el análisis forense del sistema y examinamos qué datos hay realmente».
El grupo de ransomware Revil dijo que las empresas afectadas podrían negociar con ellas de forma independiente una clave de descifrado o que cualquiera podría pagar 70 millones de dólares en moneda virtual para comprar una clave que funcionaría para descifrar todos los sistemas comprometidos en el ataque.
Sanders dijo que todos los expertos en ransomware que Casey ha consultado hasta ahora han estado en conversaciones para negociar un rescate para desbloquear a todas las víctimas.
«El problema es que no tienen nuestros datos, tienen los datos de nuestros clientes», dijo Sanders. «Todas las agencias negociadoras de ransomware con las que hemos tratado nos han aconsejado que no lo hagamos. Con la piratería de todas las máquinas personales y la redención, dicen que será muy difícil arreglar todos estos sistemas a la vez.
CEO de Kasaya en un video publicado en YouTube el 6 de julio Fred Vocola El ataque de ransomware «tuvo un impacto limitado, violando solo alrededor de 50 de los más de 35,000 clientes de Casey».
“Si bien el número de clientes afectados es muy alto, el impacto de este ataque altamente sofisticado ha demostrado ser mucho mayor, afortunadamente”, dijo Vokola.
La vulnerabilidad de día cero que llevó a la redención de los clientes de Casey (y los clientes de esos clientes) fue descubierta y reportada a Casey por Witsey Boonstra, Un investigador Instituto Holandés de Divulgación de Vulnerabilidades (DIVD).
En Entrada de blog del 4 de julio, DIVD Víctor Gever Casey escribió que fue «muy comprensivo» y «hizo las preguntas correctas».
«Además, se compartieron con nosotros parches parciales para verificar su efectividad», escribió Gewers. «A lo largo del proceso, Casey demostró que están dispuestos a dar el máximo esfuerzo e iniciativa en este caso para resolver el problema y disuadir a sus clientes. Han demostrado un compromiso real para hacer lo correcto».
Además, Casey aún no ha publicado un parche oficial para el error de Boonstra informado en abril. Casey Dijo a los clientes el 7 de julio Que funciona «de la noche a la mañana» para sacar la actualización.
Givers dijo que Casey descubrió la vulnerabilidad como parte de un esfuerzo mayor de DIVD para buscar fallas graves en una amplia gama de herramientas de administración de red remota.
«Nos estamos enfocando en este tipo de productos porque reconocemos la tendencia de usar más productos para mantener las redes más seguras y más seguras para mostrar debilidades estructurales», escribió.
«Lector amigable. Aficionado al tocino. Escritora. Nerd de Twitter galardonado. Introvertido. Gurú de Internet. Aficionado a la cerveza».
