In de nacht van 2 juli vond een van de grootste ransomware-aanvallen in de geschiedenis plaats. Kaseya, een wereldwijde softwareprovider, maakte bekend dat het was gehackt.

Het Responsteam van Kaseya ontdekte een potentiële bedreiging en nam onmiddellijke maatregelen om hun klanten te beschermen. Ze begonnen het responsprotocol te volgen, schakelden hun SaaS-services uit en adviseerden hun klanten om hun VSA-servers als voorzorgsmaatregel uit te schakelen. Helaas waren op dat moment al ongeveer 1500 klanten getroffen.

Wat je misschien niet weet, is dat het Nederlandse Instituut voor Kwetsbaarheidsontdekking (DIVD) drie maanden voor de aanval enkele kwetsbaarheden in Kaseya ontdekte. Ze startten het proces van Gecoördineerde Verantwoorde Openbaarmaking en probeerden de IT-aanbieder te helpen met alle nodige informatie en oplossingen. Maar het was te laat.

Ten eerste, wat is DIVD? DIVD is een non-profit organisatie die wordt gerund door een team van meer dan 30 vrijwilligers (waaronder onze CE2 Edwin van Andel, en triagekantoor Lennaert Oudshoorn) dat “doel is om de digitale wereld veiliger te maken door kwetsbaarheden die ze vinden in digitale systemen te melden aan de mensen die ze kunnen verhelpen.” Ze scannen het internet op kwetsbaarheden, rapporteren de bevindingen aan de verantwoordelijke persoon en verwachten geen financiële compensatie terug. Ze doen dit alleen omdat ze “kwetsbaarheidsontdekking als een maatschappelijke behoefte beschouwen.”(DIVD-website)

We hebben gezeten met twee van de DIVD-vrijwilligers, Victor Gevers en Wietse Boonstra, en bespraken het voorval, de gevolgen en hoe het in de toekomst kan worden voorkomen. 

Bedankt dat jullie de tijd hebben genomen om met ons te praten. Laten we bespreken wat er is gebeurd.

Wietse: Sh*t hit the fan; Een grote Managed Service Provider (MSP) softwareontwikkelaarsapplicatie werd gehackt. 

Victor: Wietse vond meerdere kwetsbaarheden in Kaseya begin april. We gingen de CVD-procedure met hen in, maar aanvallers waren ons voor en lanceerden een grote ransomware-aanval in het weekend van 4 juli.‍

Hoe ontdekte je deze kwetsbaarheden als eerste?

Wietse: Tijdens het werken aan een pentest ontdekte ik een tool die door een klant werd gebruikt en het gaf me een gevoel van achterdocht. Het enige probleem was dat ik niet veel tijd had om dit gedurende de afgesproken periode te onderzoeken. Dus ik begon in mijn vrije tijd wat te prutsen, en door Covid had ik genoeg tijd. Na een tijdje ontdekte ik enkele problemen en begon te proberen te kijken of ik deze kon gebruiken om de impact aan te tonen.

Victor: Wietse vond deze kwetsbaarheden als eerste. Daarna raakten de rest van ons team, Frank, Lennaert, en ik betrokken bij het proces van openbaarmaking ervan en het scannen van het internet naar kwetsbare systemen met de bedoeling klanten te informeren zodra er een patch beschikbaar was. 

Wat maakte dat je dieper in dit product wilde kijken?

Wietse: In het begin gewoon voor de lol. Ik vind het leuk om dingen uit elkaar te halen en te zien hoe ze werken.

Victor: Kaseya is een van de bekendste namen op de MSP-markt naast SolarWinds, dat ook bekend staat om zijn vele (zero-day) kwetsbaarheden die door talloze bedreigingsactoren zijn misbruikt.

Hoe was het proces van contact opnemen met Kaseya en met hen samenwerken?

Wietse: Vanuit eerdere ervaringen komt het vaak voor dat het contact opnemen met een leverancier en hen vertellen dat er een probleem met hun product is meestal eindigt in een doodlopende straat. Maar met Kaseya was het anders. Binnen een dag of zo hadden we (DIVD) een vergadering met de CTO, we legden uit wat we hadden gevonden en begonnen informatie te delen. We hebben ook opnieuw getest nadat ze een patch hadden vrijgegeven.

Victor: Kaseya was zeer bereid om het CVD-proces zo soepel mogelijk te laten verlopen. Ze waren ook bereid om met ons samen te werken zonder een ondertekende NDA, wat hun goede wil van het begin af aan toonde.

Denk je dat dit proces gemakkelijker kan worden gemaakt / verbeterd, en zo ja, hoe?

Wietse: Om contact met hen op te nemen, moesten we op hun website zoeken naar een CVD-pagina. Dat was niet duidelijk en ik kan me voorstellen dat dit soms de CVD zou kunnen belemmeren.

Victor: Ja, actieve triage zou dit proces nog soepeler hebben gemaakt, het biedt een tijdschema, gestage voortgang en updates. Daarnaast zorgt het voor meer verwachtingsbeheer en een duidelijk overzicht van de belangen van alle betrokken partijen. 

Maken een duidelijk en actief beheerd CVD-beleid het voor jullie gemakkelijker om problemen aan bedrijven te rapporteren?

Wietse: Absoluut, Absoluut, Absoluut

Victor: Leveranciers zouden een duidelijke manier moeten hebben voor veilige communicatie met hackers. Dit houdt de openbaarstelling keten veilig en zorgt ervoor dat kwetsbaarheden niet uitlekken voordat alle partijen klaar zijn om openbaar te maken.

Wat zijn de gevolgen van dit voorval?

Wietse: In dit geval hebben de bedrijven die zijn getroffen door de ransomware geen betrouwbare gegevens meer, en hun infrastructuur moet worden herbouwd / hersteld. Dat zal veel tijd en geld kosten.

Victor: Meer dan 1500 MSP's zijn getroffen, met natuurlijk veel meer klanten daarachter. Sommige media hebben dit gemeld als de grootste ransomware-aanval tot nu toe. Een veel groter bewustzijn over de architectonische tekortkomingen in MSP-producten, een algemeen gevoel dat de beveiligingsmaturiteit van deze industrie niet op niveau is.‍

Wat vind je de belangrijkste lessen uit dit voorval?

Wietse: Dit is geen eenmansjob. Het kost een team om dit naar het gewenste niveau te krijgen.

Victor: MSP-software heeft bewezen een zeer lucratief doelwit te zijn voor cybercriminelen en de kans is groot dat we in de nabije toekomst meer aanvallen op deze industrie zullen zien. Voor ons is de les dat we nog beter moeten communiceren, wat betekent dat we betere manieren nodig hebben om informatie met relevante partijen te delen.

Hoe kan dit in de toekomst worden vermeden / voorkomen?

Wietse: Zorg ervoor dat je beveiliging serieus neemt binnen je ontwikkeling, doe pentests, codebeoordelingen.

Victor: Het CVD-proces van leveranciers moet verbeteren omdat dit sneller en beter moet worden opgepakt. Actieve triage en verwachtingsbeheer zijn nodig om deze soorten problemen snel op te lossen en deze incidenten te voorkomen.

Denk je dat bug bounty-programma's bedrijven zouden helpen deze soorten problemen eerder te vinden?

Wietse: Zeker.

Victor: Ja, bug bounty-programma's en CVD-beleid zouden absoluut veel van deze kwetsbaarheden eerder hebben opgemerkt. Het hebben van deze soort programma's helpt leveranciers ook om hun producten als veiliger te positioneren. In het geval van een incident zal het hen helpen bewijzen dat ze gedaan hebben wat ze konden om hun product te beveiligen.

“Veel van de gevonden kwetsbaarheden zouden veel eerder zijn ontdekt in een bug bounty-programma. Natuurlijk kan een programma zeer complexe bugs missen, maar dat zou hier niet het geval zijn geweest. Voor ons is het duidelijk dat veel leveranciers hun producten niet voldoende hebben getest.”

Je kunt meer over deze zaak lezen op de DIVD-blog. Ook moedigen we je aan om een kijkje te nemen op onze pagina voor Gecoördineerde Verantwoorde Openbaarmaking en Bug Bounty-pagina als je meer wilt weten over de voordelen van deze programma's.