Holenderski Institute for Vulnerability Disclosure (DIVD) twierdzi, że w kwietniu ich ekspert Wietse Boonstrain odkrył siedem luk w oprogramowaniu do zdalnego monitorowania i zarządzania VSA firmy Kaseya. Amerykański dostawca usług został powiadomiony 6 kwietnia. Osiemdziesiąt siedem dni później grupa REvil wykorzystała luki odkryte przez DIVD, które nie zostały załatane.

W oświadczeniu przekazanym amerykańskiemu CRN-owi Kaseya stwierdziła, że z powodu toczącego się dochodzenia kryminalnego FBI nie może skomentować, dlaczego niektóre luki ujawnione przez DIVD nadal można było wykorzystać kilka miesięcy później. Kaseya usunęła cztery luki w aktualizacjach wydanych 10 kwietnia i 8 maja. Jednak – jak twierdzą holenderscy badacze – do końca czerwca trzy luki pozostały niezałatane.

26 czerwca Kaseya rozpoczęła wdrażanie wersji 9.5.7 swojego produktu VSA SaaS, która według DIVD rozwiązywałaby zarówno podatność procesu uwierzytelniania, jak i lukę w logice biznesowej oraz podatność  cross-site scriptingu. 7 lipca VSA 9.5.7 miała być powszechnie dostępna dla klientów on-premise Kaseya. Niestety, pięć dni wcześniej REvil wykorzystał wyciek danych uwierzytelniających i błąd logiki biznesowej do skompromitowania VSA w wersji on-premise.

„W odróżnieniu od innych dostawców, którym wcześniej ujawniliśmy luki w zabezpieczeniach, reakcja Kaseya na nasze informacje o lukach nie była spóźniona” – stwierdził w ostatnią środę Frank Breedijk z DVID. „Nic nie wskazuje na to, że Kaseya zwlekała z wydaniem aktualizacji bezpieczeństwa. Niestety, w tym przypadku spełnił się najgorszy scenariusz.”