Lesetipps: Ein weltweiter Cyberangriff, digitale Gewalt, Drucker-Albträume

Artikel ansehen

Wie behandelt Linux Mint Debian Edition 4 das Audacity Problem? Die schützen mich bereits vor Canonicals Snap, sind also sehr anwenderfreundlich. Wahrscheinlich übernehmen die Audacity direkt von Debian, und das ist meines Wissens eine Community, die nicht vor einem Hersteller kuscht. Naja, im Zweifelsfall habe ich auf BTRFS @/ installiert, damit dauert ein Systemrestore mit Timeshift gerade mal 3 Sekunden plus Reboot. Unter Windows waren das noch 4 Stunden, Backup dagegen war in 10 Minuten erledigt.

Thema Kaseya VSA:

Einleitung Angriffs-Szenario:

Die holländische Melde-Behörde DIVD CSIRT hat mittlerweile folgendes über diese Angriffe veröffentlicht:

In den letzten 48 Stunden ist die Anzahl der Kaseya VSA Instanzen, die aus dem Internet erreichbar sind, von über 2.200 auf weniger als 140 bei unserem letzten Scan heute gesunken. Und durch die enge Zusammenarbeit mit unseren vertrauenswürdigen Partnern und nationalen CERTs ist die Anzahl der Server in den Niederlanden auf Null gesunken. Eine gute Demonstration dafür, wie ein kooperatives Netzwerk sicherheitsbewusster Organisationen in einer bösen Krise sehr effektiv sein kann.

Inzwischen ist es an der Zeit, unsere Rolle bei diesem Vorfall etwas deutlicher zu machen. Das Wichtigste zuerst: Ja, Wietse Boonstra, ein DIVD-Forscher, hat zuvor eine Reihe der Zero-Day-Schwachstellen [CVE-2021-30116] identifiziert, die derzeit bei den Ransomware-Angriffen genutzt werden. Und ja, wir haben diese Schwachstellen an Kaseya gemäß den Richtlinien zur verantwortungsvollen Offenlegung (aka koordinierte Offenlegung von Schwachstellen) gemeldet.

Unsere Untersuchung dieser Schwachstellen ist Teil eines größeren Projekts, in dem wir Schwachstellen in Tools für die Systemadministration untersuchen, insbesondere in den administrativen Schnittstellen dieser Anwendungen.

Dabei handelt es sich um Produkte wie Vembu BDR, Pulse VPN, Fortinet VPN , um nur einige zu nennen. Wir konzentrieren uns auf diese Art von Produkten, weil wir einen Trend festgestellt haben, dass immer mehr Produkte, die für die Sicherheit von Netzwerken eingesetzt werden, strukturelle Schwachstellen aufweisen.

Nach dieser Krise stellt sich die Frage, wer die Schuld daran trägt. Von unserer Seite aus möchten wir erwähnen, dass sich Kaseya sehr kooperativ gezeigt hat. Sobald Kaseya von den von uns gemeldeten Schwachstellen erfuhr, standen wir in ständigem Kontakt und kooperierten mit ihnen. Wenn Punkte in unserem Bericht unklar waren, stellten sie die richtigen Fragen. Außerdem wurden uns Teil-Patches zur Verfügung gestellt, um deren Wirksamkeit zu überprüfen. Während des gesamten Prozesses hat Kaseya gezeigt, dass sie bereit waren, ein Maximum an Aufwand und Initiative in diesen Fall zu stecken, um sowohl dieses Problem zu beheben als auch ihre Kunden zu patchen. Sie zeigten ein echtes Engagement, das Richtige zu tun. Leider wurden wir im Endspurt von REvil geschlagen, da sie die Schwachstellen ausnutzen konnten, bevor die Kunden überhaupt gepatcht werden konnten.

Nachdem die ersten Berichte über Ransomware auftraten, arbeiteten wir weiter mit Kaseya zusammen, gaben unseren Input zu den Vorfällen und halfen ihnen, damit umzugehen. Dazu gehörte auch, dass wir ihnen Listen mit IP-Adressen und Kunden-IDs von Kunden gaben, die noch nicht reagiert hatten und die sie umgehend telefonisch kontaktierten.

Zusammenfassend lässt sich also sagen: DIVD befand sich in einem Coordinated Vulnerability Disclosure-Prozess mit Kaseya, das an einem Patch arbeitete. Einige dieser Schwachstellen wurden bei diesem Angriff genutzt. Kaseya und DIVD haben zusammengearbeitet, um den Schaden so weit wie möglich zu begrenzen.

Konkrete Informationen zur Natur der Schwachstellen stellt Kaseya noch nicht bereit. Doch aus öffentlichen Analysen der aktuellen Vorfälle lässt sich bereits einiges ableiten. Demnach gab es einen ungesicherten Endpunkt des VSA-Web-Interfaces, über den man aus dem Internet ohne Authentifizierung mit der Server-Software „reden“ konnte (Authentication Bypass). Berichte über Angriffe referenzieren dabei Zugriffe auf
/dl.asp/KUpload.dll/userFilterTableRpt.asp
mit dem Kommandozeilen-Werkzeug curl.

Eigentlich dachte ich bisher, dass die Vorfälle, welche durch den Solarwinds-Hack vor Kurzem durchgeführt wurden, die Verantwortlichen im IT-Security Umfeld wachgerüttelt hätte?! Dem war wohl nicht so! Gerade solche Unternehmen, wie Kaseya als Class-1 Infrastrukturanbieter, hätten vorher viel mehr tun müssen!
Nicht, dass dies nur versäumt wurde - Nein, man hatte trotz des vorhandenen Wissens der Lücken keine Maßnahmen getroffen, sondern im „Hintergrund“ daran gearbeitet, dass bei einer zukünftigen neuen Version des Tools, diese nicht mehr vorhanden ist. Das ist in meinen Augen nur pure Verschleierungstaktik und keine Hilfe für den Kunden! Da stand eindeutig wieder nur der finanzielle Gewinn bzw. ein eventueller Verlust zur Debatte und nicht der Schutz der Kunden… :-1: