Vulnerabilidad a Kasaya Left Customer Portal 2015 Vulnerabilidad en su propio software: control de la seguridad

La semana pasada, los ciberdelincuentes enviaron ransomware a más de 1.500 empresas que brindan seguridad de TI y soporte técnico a varias empresas. Los atacantes utilizaron una vulnerabilidad en el software. Kasaya, Empresa con sede en Miami, cuyos productos permiten a los administradores de sistemas gestionar grandes redes de forma remota. Hasta la semana pasada, el portal de servicio al cliente de Kasia era vulnerable a las vulnerabilidades de fuga de datos que se identificaron por primera vez en el mismo software hace seis años.

El 3 de julio Actualiza el complemento ransomware Se empezó a utilizar el agujero de seguridad de día cero (CVE-2021-30116) Para utilizar ransomware para cientos de empresas de gestión de TI que ejecutan el software de gestión remota de Gasia – Administrador del sistema virtual de Kaceya (VSA).

De acuerdo a Esta entrada fue publicada en CVE-2021-30116, 2 de abril de 2021 Casey VSA Zero Day Asigna un número de vulnerabilidad Fallo de seguridad, que se refiere a Casey Se necesitaron unos tres meses para resolver el error antes de que fuera explotado en la naturaleza..

El 3 de julio, la empresa de respuesta a incidentes de seguridad Mandiant Anunció a Kasia como su sitio de facturación y soporte al cliente –portal.kaseya.net – era vulnerable CVE-2015-2862, Una vulnerabilidad de «cruce de directorio» en Casio VSA que permite a los usuarios remotos leer cualquier archivo en el servidor sin usar nada más que un navegador web.

Como su nombre lo indica, CVE-2015-2862 se lanzó en julio de 2015. Seis años después, la filtración de datos del portal de clientes de Cassia revela una vulnerabilidad.

Portal de facturación y soporte al cliente de Kasaya. Imagen: Archive.org.

Después de enterarse de eso, Mandiant le informó a Casey Alex Holden, Fundador y CEO de Internet Intelligence con sede en Milwaukee Mantente a salvo. Holden dijo que habría una vulnerabilidad de 2015 en el portal de clientes de Ghazia hasta el sábado por la tarde, lo que permitiría descargar el sitio. Archivo «Web.config», Un componente de servidor que a menudo contiene información confidencial, como nombres de usuario y contraseñas, y la ubicación de bases de datos confidenciales.

«No parece que se hayan olvidado de incorporar algo que Microsoft estableció hace muchos años», dijo Holden. «Este es un enlace a su propio software. No es un día cero. ¡Ha sido 2015!»

La interpretación oficial de CVE-2015-2862 establece que un atacante ya debe estar autorizado al servidor para realizar trabajos de explotación. Pero Holden, informó a través de Montient que no era el caso en el caso vulnerable en el portal Candia.

«Esto es malo porque el CVE está llamando a un usuario autorizado», dijo Holden. «Que no es.»

Michael Sanders, Vicepresidente ejecutivo de gestión de cuentas de Cassia, confirmó que el portal del cliente se desconectó en respuesta a un informe de vulnerabilidad. Sanders dijo que el portal se retirará en 2018 para respaldar el sistema más moderno de atención al cliente y emisión de boletos, aunque de alguna manera el sitio anterior todavía está disponible en línea.

«Se eliminó, pero se dejó fuera», dijo Sanders.

En una declaración escrita compartida con GrepsonSecurity, Casey dijo que en 2015, CERT anunció dos vulnerabilidades en su producto VSA.

«Somos responsables de la divulgación de CERD y las conexiones públicas (CVE) para las versiones VSA V7, R8, R9 y R9 y los avisos a nuestros clientes. Portal.kaseya. Net no fue considerado parte del producto de envío VSA por nuestro equipo, y no formó parte de la fusión de productos de VSA en 2015. No tenía acceso a los puntos finales de los clientes y estaba cerrado, y Cassia ya no lo operaba ni lo usaba «.

«En este momento, no hay evidencia de que este portal haya estado involucrado en el incidente de seguridad del producto VSA», continuó el comunicado. «Estamos haciendo análisis forenses en la computadora e investigando qué datos hay realmente».

El equipo de Rev ransomware dijo que las empresas afectadas podrían negociar con ellas de forma independiente una clave de cifrado o que alguien podría pagar 70 millones de dólares en moneda virtual para comprar una clave que ayudaría a descifrar todos los sistemas comprometidos en este ataque.

Pero Sanders dijo que todos los expertos en ransomware hasta ahora han aconsejado a Kasia que no negocie un rescate para abrir a todas las víctimas.

«El problema es que no tienen nuestros datos, tienen los datos de nuestros clientes», dijo Sanders. «Todas las empresas negociadoras de ransomware con las que hemos tratado nos han aconsejado que no lo hagamos. Dado el tamaño de las máquinas personales pirateadas y recuperadas, dicen que es muy difícil reparar todos estos sistemas a la vez».

En un video publicado en YouTube el 6 de julio, Kasaya es el CEO Fred Vogola El ataque de ransomware «ha tenido un impacto limitado, con sólo unos 50 de los más de 35.000 clientes de Cassia siendo violados», dijo.

“Aunque todos los clientes afectados son iguales, el impacto de este sofisticado ataque ha demostrado ser muy exagerado, afortunadamente”, dijo Vogola.

La vulnerabilidad de día cero que llevó a la recuperación de los clientes de Cassia (y los clientes de esos clientes) fue descubierta y reportada a Cassia. Wietse Boonstra, Un investigador Compañía holandesa para exposición exposición (DIVT).

En Entrada de blog del 4 de julio, D.I.V.T. Victor Jewers Kasaya escribió que fue «muy cooperativo» y «hizo las preguntas correctas».

“Además, se compartieron arrecifes parciales con nosotros para asegurar su efectividad”, escribió Jewers. «A lo largo de todo el proceso, Cassia ha demostrado que están preparadas para hacer su mayor esfuerzo e iniciativa en este caso para solucionar este problema y conectarse con sus clientes. Han demostrado un compromiso real para hacer lo correcto. Desafortunadamente, nos golpearon con un revólver al paso final porque podrían explotar las vulnerabilidades antes de que los clientes se atasquen «.

Aún así, la desventaja anunciada en abril punstra kaceya aún no ha lanzado un parche oficial. Kasaya Dijo a los clientes el 7 de julio Funciona «toda la noche» para lanzar una actualización.

Jewers dijo que la vulnerabilidad de Cassia fue descubierta como parte de un esfuerzo más grande de DIVT para abordar graves deficiencias en la amplia gama de herramientas de administración de red remota.

“Nos enfocamos en este tipo de productos porque hemos visto una tendencia a que se utilicen más productos para mantener las redes seguras y protegidas para mostrar debilidades estructurales”, escribió.