Supply chain-angreb rammer tusindvis med ransomware

Illustration: Coop
Blandt ofrene for angreb via Kaseya VSA-software er svenske Coop, der måtte lukke butikkerne lørdag.

Et supply chain-angreb har udsat mange af firmaet Kaseyas kunder for ransomware af typen 'Revil'. Det skriver flere medier. Det skulle dreje sig om flere end tusind virksomheder.

Angrebet er udført gennem softwaren Kaseya VSA, som er et cloud-produkt til styring af it-infrastruktur, såsom patch management og klientovervågning .

Blandt ofrene for angrebet er den svenske Coop-kæde, der lørdag måtte lukke 800 butikker, da kasseapparaterne var ude af drift.

»Det er meget farligt, fordi det rammer i menneskers hverdagsliv. Og det rammer sektorer som fødevareforsyning og andre grundlæggende forsyningsområder for samfundets måde at fungere. I en anden sikkerhedspolitisk situation kan det være statslige aktører, der angriber os på det her område for at lukke samfundet ned og skabe kaos«, udtaler Peter Hultqvist, som er Sveriges forsvarsminister, til svensk tv, ifølge Ritzau.

På firmaets hjemmeside skriver Kaseya:

»Alle lokale VSA-servere skal forblive offline indtil yderligere instruktioner fra Kaseya om, hvornår det er sikkert at genetablere driften. Der skal installeres en patch, inden VSA genstartes. SaaS og hostede VSA-servere vil blive operationelle, når Kaseya har fastslået, at vi sikkert kan genetablere driften. Vores eksterne eksperter råder os til, at kunder, der har oplevet ransomware og modtager kommunikation fra angriberne, ikke skal klikke på link, da de måske kan være farlige.«

Kaseya skriver, at et værktøj til gendannelse skulle være tilgængeligt lørdag aften, og at værktøjet kan fås ved sende en email fra en kendt kundeadresse til firmaet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Mogens Lysemose

Det er interessant hvordan Kaseya har reageret. Hvis man læser deres første udmelding er det meget få af deres kunder, der måske er ramt. Nu ved vi så at ca. 500-1000 virksomheder er ramt.

Det er også interessant om de blev advaret om sikkerhedshullet inden den blev misbrugt. Sikkerhedsfirmaet her antyder at de opdagede hullet og advarede Kasaya inden misbruget eksplodrede, men de giver ingen datoer eller andre detaljer.

https://csirt.divd.nl/2021/07/03/Kaseya-Case-Update/

Jeg læste et sted at COOP Sverige ikke direkte brugte den ramte VSA-software, men det gjorde deres serviceleverandør, som de havde outsourcet drift og vedligehold til...

  • 3
  • 0
#4 Mogens Lysemose

Lidt opdateringer:

"Hackerangrebet har ramt de svenske dagligvarerbutikker ejet af Coop blandt tusindvis af andre virksomheder verden over gennem den amerikanske it-leverandør, Visma Esscom."

https://www.dr.dk/nyheder/seneste/efter-hacker-angreb-svenske-coop-butik...

"Kaseya has shown that they were willing to put in the maximum effort and initiative into this case both to get this issue fixed and their customers patched."

"They showed a genuine commitment to do the right thing. Unfortunately, we were beaten by REvil in the final sprint, as they could exploit the vulnerabilities before customers could even patch."

https://www.bleepingcomputer.com/news/security/kaseya-was-fixing-zero-da...

  • 0
  • 0
#5 Joe Sørensen

Som jeg læser det, er der tale om et decentral system. Desværre skal systemet opdateres alle steder, før det er sikkert at starte det op igen, fordi angreber nu ved, at hvis de vil udnytte deres muligheder, så er det nu eller aldrig. Og opdateringen skal selvfølgelig også gøres decentralt.

Jeg tror heller ikke det er tilfældig, at de vælger at bruge en søndag på det. Hvid angriber havde fået lov at vælge tid og sted havde sikkert valgt anderledes.

  • 0
  • 0
#6 Mogens Lysemose

Ja det er decentrale installationer, men som automatisk henter opdateringer centralt fra, herunder det falske “hotfix”. Dermed skulle hackerne bare hacke leverandørens centrale opdateringflow. Deraf navnet suppl Chan attaché.

Jeg tror heller ikke det er tilfældig, at de vælger at bruge en søndag på det.

Det startede fredag ca. kl 14. Om July 4th, uafhængighedsdagen, i dag søndag blev “tilfældigt” ramt eller var planlagt eller ligefrem et symbolsk mål ved vi ikke.

  • 5
  • 0
#9 Michael Cederberg

... der ikke bare handler om den ydre firewall, virus checkers, opdatering af software, lange passwords, etc.?

Hvor mange har overvejet hvad der sker når noget kommer ind? Hvad sker der når en server i DMZ er kompromitteret? Hvad sker der når en domænecontroller er kompromitteret? Hvad sker der når udviklere hiver et python library hjem som er kompromitteret og kører det på en app server? Hvad sker der hvis bygge servere bliver kompromitteret (uanset om den er lokal eller i cloud)? Hvad hvis switche, routere og firewalls kompromitteres?

Man er nødt til at lege den slags "wargames" for at se hvor man er sårbar. Nogen ting er selvfølgeligt ødelæggende for rigtigt meget (angreb på authentication servers og netværks infrastruktur) og svære at containe. Andre er nemmere at håndtere.

Man er også nødt til at have nogle overordnede principper for sikkerhed og så måle alle systemer på samme. Fx. defense in depth, least privilege, minimize attack surfaces, reluctance to trust, ...

  • 2
  • 0
#10 Henrik Schultz

Er det bare mig, eller mangler vi at høre en masse tekniske detaljer om angrebet, så vi bedre kan udtale os om hvad man burde have gjort?

For eksempel:

  • Hvilket type platform er ramt (Microsoft, Linux, mainframe, netværk, ...) ?
  • Er det i en applikation, i noget middleware eller i operativsystemet der er udnyttet en svaghed?
  • Var det en gammel kendt svaghed som er udnyttet eller en day zero?
  • Kunne det være forhindret hvis man havde patchet op i tide?
  • Er det en trojaner som er kommet ind via 3 parts software (ligesom med Mærsk angrebet)?
  • Hvis det er sket i supply chain, må det jo starte med at f.eks. et koderepositorie er kompromitteret. Det kan så skyldes dårlige passwords, men også at koden som er checket ind ikke er blevet valideret før deployment.
  • Hvordan har skade kunne brede sig til så mange ... er det f.eks. sket manuelt af hackerne, eller har det kunne brede sig automatisk som en orm?
  • Hvis data er krypteret som ransomware - hvilket det lyder som - hvorfor kan man så ikke bare restore fra backup? (Under antagelsen at man selvfølgelig har offsite backup som ikke er kompromitteret.)

Hvem ved noget konkret?

  • 1
  • 0
#12 Mogens Lysemose

1) admin web interface authentication bypass 2) sql code injection. 3) code execution.

At 1) og 2), to så alvorlige sikkerhedshuller er ukendte og står åbne er meget pinligt for Kaseya, det tyder på dårligt fokus på sikkerhed.

Det er jo klassiske angrebsveje!

https://www.zdnet.com/article/kaseya-ransomware-supply-chain-attack-what...

Huntress (1,2) has tracked 30 MSPs involved in the breach and believes with "high confidence" that the attack was triggered via an authentication bypass vulnerability in the Kaseya VSA web interface.

According to the cybersecurity firm, this allowed the attackers to circumvent authentication controls, gain an authenticated session, upload a malicious payload, and execute commands via SQL injection, achieving code execution in the process.

  • 1
  • 0
#13 Mogens Lysemose

1) /dl.asp logic flaw in the authentication process.

2) /KUpload.dll bruges nu til upload af agent.crt

2-3) /userFilterTableRpt.asp contains a significant amount of potential SQL injection vulnerabilities, which would offer an attack vector for code execution and the ability to compromise the VSA server.

https://old.reddit.com/r/msp/comments/ocggbv/crticial_ransomware_inciden...

  • 0
  • 0
Log ind eller Opret konto for at kommentere