Kaseya została ostrzeżona w kwietniu
Badacze podatności 6 kwietnia zawiadomili amerykańskiego producenta o lukach, które trzy miesiące później grupa hakerska REvil wykorzystała w ataku ransomware.
Spełnił się najgorszy scenariusz.
Holenderski Institute for Vulnerability Disclosure (DIVD) twierdzi, że w kwietniu ich ekspert Wietse Boonstrain odkrył siedem luk w oprogramowaniu do zdalnego monitorowania i zarządzania VSA firmy Kaseya. Amerykański dostawca usług został powiadomiony 6 kwietnia. Osiemdziesiąt siedem dni później grupa REvil wykorzystała luki odkryte przez DIVD, które nie zostały załatane.
W oświadczeniu przekazanym amerykańskiemu CRN-owi Kaseya stwierdziła, że z powodu toczącego się dochodzenia kryminalnego FBI nie może skomentować, dlaczego niektóre luki ujawnione przez DIVD nadal można było wykorzystać kilka miesięcy później. Kaseya usunęła cztery luki w aktualizacjach wydanych 10 kwietnia i 8 maja. Jednak – jak twierdzą holenderscy badacze – do końca czerwca trzy luki pozostały niezałatane.
26 czerwca Kaseya rozpoczęła wdrażanie wersji 9.5.7 swojego produktu VSA SaaS, która według DIVD rozwiązywałaby zarówno podatność procesu uwierzytelniania, jak i lukę w logice biznesowej oraz podatność cross-site scriptingu. 7 lipca VSA 9.5.7 miała być powszechnie dostępna dla klientów on-premise Kaseya. Niestety, pięć dni wcześniej REvil wykorzystał wyciek danych uwierzytelniających i błąd logiki biznesowej do skompromitowania VSA w wersji on-premise.
„W odróżnieniu od innych dostawców, którym wcześniej ujawniliśmy luki w zabezpieczeniach, reakcja Kaseya na nasze informacje o lukach nie była spóźniona” – stwierdził w ostatnią środę Frank Breedijk z DVID. „Nic nie wskazuje na to, że Kaseya zwlekała z wydaniem aktualizacji bezpieczeństwa. Niestety, w tym przypadku spełnił się najgorszy scenariusz.”
Podobne aktualności
Haker atakujący Kaseya wpadł w Polsce. Dostał 13 lat
Musi także zapłacić ponad 16 milionów dolarów odszkodowania.