Nachbereitung zum Kaseya-Lieferkettenangriff

Sicherheit (Pexels, allgemeine Nutzung)[English]Anfang des Monats Juli 2021 gab es einen Lieferkettenangriff auf Kaseya VSA, eine Remote Management und Monitoring Software (RMM), so dass Malware ausgeliefert wurde. In Folge schlug der Verschlüsselungstrojaner der REvil Ransomware-Gruppe zu und verschlüsselte die IT-Systeme von weltweit ca. 1.500 Firmen. Nach und nach werden weitere Details bekannt. So wurde die für den Angriff ausgenutzte Schwachstelle im April 2021 an Kaseya gemeldet – und in deren Verwaltungs-Software ist eine seit 2015 bekannte Schwachstelle immer noch offen. Ergänzung: Und interne Warnungen vor der laxen Sicherheit scheint es auch gegeben zu haben.


Anzeige

Der Kaseya-Lieferkettenangriff

Es ist ein Realität gewordener Alptraum, der REvil Ransomware-Gruppe ist ein Lieferkettenangriff auf die VSA-Plattform des US-Anbieters Kaseya gelungen. Damit lieferte die Remote Management und Monitoring Software (RMM) Kaseya VSA einen Dropper als legitimes Update aus, welcher einen Verschlüsselungstrojaner der REvil-Ransomware-Gruppe nachlud. Ich hatte im Blog-Beitrag REvil Ransomware-Befall bei 200 Firmen über Kaseya VSA und Management Service Provider (MSP) berichtet. Cyble hat hier mehr Details publiziert.

In der Folge wurden ca. 1.500 Firmen weltweit durch den Ransomware-Angriff betroffen. Prominentestes europäisches Opfer ist Coop-Schweden, die die Läden schließen mussten, weil ein Zahlungsdienstleister für deren Kassensysteme ausfiel (siehe Coop-Schweden schließt 800 Geschäfte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang). Das Ganze ist so etwas wie der SolarWinds Lieferkettenangriff auf deren Orion-Software, nur dass es diesmal eine Ransomware (statt einer Spionageoperation) war, die zuschlug.

Schwachstelle Anfang April 2021 gemeldet

Nun haben die Entdecker der Schwachstellen in der Kaseya VSA-Software, die niederländischen Sicherheitsforscher von DIVD, in diesem Blog-Beitrag einige (aber nicht alle Details) zum Fall offen gelegt. Der Hersteller wurde am 6. April 2021 über folgende Schwachstellen in seiner Plattform informiert.

  • CVE-2021-30116 – A credentials leak and business logic flaw, resolution in progress.
  • CVE-2021-30117 – An SQL injection vulnerability, resolved in May 8th patch.
  • CVE-2021-30118 – A Remote Code Execution vulnerability, resolved in April 10th patch. (v9.5.6)
  • CVE-2021-30119 – A Cross Site Scripting vulnerability, resolution in progress.
  • CVE-2021-30120 – 2FA bypass, resolution in progress.
  • CVE-2021-30121 – A Local File Inclusion vulnerability, resolved in May 8th patch.
  • CVE-2021-30201 – A XML External Entity vulnerability, resolved in May 8th patch.

Die Liste zeigt, dass der Herstelle bereits im Mai 2021 einige dieser Schwachstellen durch Updates beseitigt hat. Erste Updates wurden bereits im April 2021 bereitgestellt, weitere wurden im Juni 2021 geschlossen. Aber es blieben Schwachstellen offen, die im Juli 2021 gepatcht werden sollten – es gab einen Austausch zwischen dem Hersteller und den Sicherheitsforschern, um zu verifizieren, dass die Patches auch wirken. Am 2. Juli 2021 kam es dann zum Lieferkettenangriff auf die Kaseya VSA-Plattform durch die REvil-Gruppe, wobei noch nicht geschlossene Schwachstellen ausgenutzt wurden.

Die Sicherheitsforscher haben keine Details zu den Schwachstellen offen gelegt. Angesichts der zeitlichen Abfolge stellt sich mir aber die Frage, ob die REvil-Gruppe über Spionagetätigkeit darüber informiert war, dass da gerade Patches zum Schließen der Schwachstelle vorbereitet wurden. Das erinnert mich an den Exchange-Hack der Hafnium-Gruppe im März 2021, wo ich den Zeitablauf im Beitrag Anatomie des ProxyLogon Hafinum-Exchange Server Hacks aufbereitet habe.

Die Seite, die die Malware ausgeliefert hat, ist übrigens inzwischen offline. Sophos zeichnet den Fall in diesem Beitrag nach und weist in diesem Tweet darauf hin, dass Trittbrettfahrer Mails verschicken, die ein Kaseya-Update versprechen, aber Malware ausliefern.

Kaseya Kunden-/Abrechnungsportal mit Schwachstelle

Interessant ist in diesem Zusammenhang ein Tweet von Brian Krebs, der auf eine seit 2015 bestehende Schwachstelle im Kunden-/Abrechnungsportal dieses Herstellers hinweist. Das Ganze ist in diesem Artikel im Details aufbereitet worden.

Kaseya vulnerability

Kaseya hat dieses Portal dann am 3. Juli 2021 abgeschaltet. Ich kann es nicht endgültig werten, aber die Botschaft ist eigentlich, dass beim US-Hersteller Kaseya die Sicherheit zumindest ziemlich viel Zeit brauchte, bis Schwachstellen gefixt wurden. Keine Ahnung, ob die Firma das überlebt.

Interne Warnungen verhallten

Ergänzung: Ich hatte beim Schreiben des Text so etwas wie "Schlamperei führte zur Katastrophe" auf der Zunge, habe es aber dann mangels Wissen fallen gelassen. Nun berichtet Bloomberg, dass Führungskräfte der in Miami ansässigen Kaseya Ltd. vor kritischen Sicherheitslücken in der Software des Unternehmens gewarnt wurde. Bloomberg bezieht sich auf fünf ehemalige Mitarbeiter der Firma.


Anzeige

Bloomberg zitiert die ungenannt bleiben wollenden ehemaligen Mitarbeiter, dass diese bei mehreren Gelegenheiten zwischen 2017 und 2020 in den Kaseya-Niederlassungen in den USA die Unternehmensleitung auf weitreichende Cybersicherheitsprobleme hingewiesen haben wolle. Aber diese Probleme seien oft nicht vollständig angegangen worden.

Als eklatanteste Probleme, die aufgelistet werden, gehörten Software, die mit veraltetem Code unterlegt war. Aber auch die Verwendung schwacher Verschlüsselung und Passwörter in Kaseyas Produkten und Servern stehen auf der Agenda. Auch die Nichteinhaltung grundlegender Cybersicherheitspraktiken wie regelmäßiges Patchen der Software wurde genannt.

Dem Management sei es um eine Konzentration auf den Verkauf der Produkte auf Kosten anderer Prioritäten gegangen, so die Mitarbeiter. Kennt man irgendwie bzw. meint das schon mal andernorts gehört zu haben. Es ändert sich nichts: Vorne Hochglanzbroschüren, gräbst Du etwas, stößt Du nur auf einen Haufen Dreck. Der Bloomberg-Bericht passt insofern gut zu diesem Kommentar eines Blog-Lesers, der etwas aus dem Nähkästchen bzgl. der Kaseya-Software plaudert.

Das dicke Ende kommt noch

Der Fall hat aufgezeigt, wie kaputt die IT-Infrastruktur inzwischen ist. Bisher predigte man den Leuten, dass ein guter Virenschutz, auf aktuellem Stand gehaltene Systeme und die Verwendung allerlei Software (einiges davon Schlangenöl) die Systeme sicher machten. Aber Administratoren, die alles richtig gemacht haben, wurden betroffen, wenn deren Service Management Provider Kaseya VSA zum Rollout von Updates und zum Remote Management der Systeme benutzten. Die Kollegen von heise haben sich in diesem Artikel über diese Fragen Gedanken gemacht.

Von Vectra AI, die sich im Sicherheitsbereich tummeln, ging mir eine weitere Einschätzung zu. Laut deren Stellungnahme traft der Kaseya-Angriff Tausende von Opfern, die meisten, so der Schadensbericht, waren kleinere Unternehmen oder Institutionen mit schmalerem Budget: „Zahnarztpraxen, Architekturbüros, Zentren für plastische Chirurgie, Bibliotheken und so weiter". Dennoch war es für die Angreifer wirtschaftlich sinnvoll, denn Kaseya diente als effizienter Verteilungspunkt für ihre Giftpillen-Software. Kaseya VSA, das weit verbreitete SaaS-Angebot des Unternehmens zur IT-Automatisierung, wurde zum unwissentlichen Liefersystem – im Dienste der Black Hats.

Schockierend? Ganz und gar nicht. Es ist die gleiche Strategie, die bei dem Angriff auf SolarWinds Ende 2020 zu beobachten war. Auch hier wurde durch die Infiltration eines SaaS-Anbieters eine lange Liste von Zielen zum Opfer. Und der offensichtliche Akteur des Kaseya-Angriffs, die mit Russland verbundene Gruppe REvil, wird auch für den Ransomware-Angriff auf den internationalen Fleischverarbeitungskonzern JBS am Memorial Day verantwortlich gemacht. Verbindet man die Punkte, ergeben sich laut Vectra AI die Schlussfolgerungen ergeben von selbst:

  • Das Hijacking von SaaS-Anbietern macht Massenangriffe auf kleine Ziele kostengünstig.
  • Das Vertrauen in traditionelle Strategien zur Angriffsabwehr hat immer wieder zu kostspieligen und demütigenden Niederlagen geführt. Malware dringt regelmäßig unbemerkt in die Perimeter von Zielen ein.
  • Die meisten Unternehmen überdenken ihre Cybervorsorge nicht mit der halben Dringlichkeit, die jetzt angebracht wäre. Die Ähnlichkeiten zwischen den Angriffen von SolarWinds, Colonial Pipeline, JBS und Kaseya sind deutlich genug. Sie geben eine klare Lernkurve vor, die es zu erklimmen gilt. Im Großen und Ganzen reagieren die potenziellen Opfer jedoch nicht.

Prokrastination hat seinen Reiz, und vielleicht liegt es in der menschlichen Natur. Es ist jedoch besser, in die Vorbereitung zu investieren als in ein Post-hoc-Krisenmanagement. Nach dem SolarWinds-Angriff befragte Vectra 1.112 Sicherheitsexperten, die in mittleren bis großen Unternehmen arbeiten. Mit folgendem Ergebnis:

Unter den Sicherheitsteams zeigte sich ein hohes Maß an Vertrauen in die Effektivität der Sicherheitsmaßnahmen des eigenen Unternehmens: Fast 4 von 5 gaben an, eine gute oder sehr gute Sicht auf Angriffe zu haben, die Perimeter-Verteidigungen wie Firewalls umgehen.

In Wahrheit ist aber doch bekannt, dass keine Anwendung, kein Netzwerk und kein Rechenzentrum unverwundbar ist. Wenn sich die Entscheidungsträger eines Unternehmens in falscher Sicherheit wiegen, was ihre Fähigkeit angeht, Hacker abzuwehren, sind sie wahrscheinlich nicht mit den notwendigen Tools ausgestattet, um erfolgreich zu sein.

Der Kaseya-Angriff ist laut Vectra AI eine weitere Erinnerung daran, dass Selbstgefälligkeit seinen schrecklichen Preis fordern kann. Da das Risiko eines Angriffs nicht mehr auf große finanzstarke Unternehmen beschränkt ist, sollte der Vorfall neue Sicherheitsdiskussionen in mehr IT-Abteilungen auslösen. SaaS-Abonnementbeziehungen und die Sicherheitsrichtlinien von Managed-Service-Anbietern sollten neu geprüft werden. Wenn sich ein Unternehmen auf Produkte wie Kaseya VSA verlässt, ist es nur so sicher wie sein Anbieter. Je mehr sich Unternehmen auf die Datenspeicherung und in die Cloud ausgelagerte SaaS-Lösungen verlassen, desto größer können die Schwachstellen werden.

Letztes Jahr hieß es, dass es Monate dauern würde, um das volle Ausmaß des Schadens beim SolarWinds-Angriff zu ermitteln – genau wie jetzt beim Kaseya-Ransomware-Angriff. Dennoch sollten wir optimistisch sein, dass wir als digitale Gesellschaft die Punkte verbinden und das Blatt wenden werden. Seit Jahren glauben die Sicherheitsfirmen um die Vorzüge einer robusten Netzwerküberwachung und einer schnellen Erkennung von unvermeidlichen Sicherheitsverletzungen zu wissen.

Präsident Bidens Executive Order vom Mai 2021 macht die Erkennung von Angriffen – und bessere Untersuchungs- und Abhilfemöglichkeiten – zu einer Priorität für die US-Bundesregierung. Unternehmensleiter weltweit sind jetzt gefordert, auf den Kaseya Ransomware-Angriff zu reagieren, indem sie ihre Umstellung auf eine effektivere Cybersicherheitsstrategie beschleunigen. Die Kaseya-Katastrophe könnte eines Tages als ein Wendepunkt in Erinnerung bleiben, der schließlich zu einer besseren Sicherheitslage führte, glaubt Vectra AI. Wenn das eintritt, hätten die Kriminellen  der IT-Landschaft einen unbeabsichtigten Dienst erwiesen. Bezüglich der letzten Aussage bin ich aber nicht so optimistisch, da wird weiter gewurschtelt wie bisher.

Check Point zeigt in diesem Bericht auf, wie clever die Angreifer vorgingen. Der Angriff wurde vor dem 4. Juli 2021, dem Nationalfeiertag in den USA, ausgeführt. So hatten die Angreifer die Zeit auf ihrer Seite, weil viele IT-Leute auf dem Weg in ein verlängertes Wochenende waren. Dazu heißt es von Check Point:

REvil wählte den 4. Juli als Zeitpunkt des Angriffs aus einem bestimmten Grund nämlich mangelnde Aufmerksamkeit. Am Nationalfeiertag der USA steht häufig nur eine Notbesetzung zur Verfügung und diese Tatsache öffnete die Hintertür zu über tausend Unternehmen über die wiederum zahlreiche weitere Unternehmen kompromittiert werden konnten. IT-Mitarbeiter waren für die Feierlichkeiten im Land offline und die eingesetzte Notbesetzung arbeitete in der Regel weniger umsichtig.

Diese Tatsache spielte den Bedrohungsakteuren in mehrfacher Hinsicht in die Hände: Die Ransomware konnte vollständig zum Einsatz gebracht werden, bevor jemand etwas gemerkt hat. Zusätzlich ist die Panik während der Reaktionsmaßnahmen größer, wenn wichtige Ansprechpartner nicht verfügbar sind, um zu entscheiden. Das erhöht das Maß an Fehlentscheidungen und auch die Wahrscheinlichkeit einer Lösegeldforderung nachzugeben.

Die Empfehlung von Check Point lautet, EDR, NDR und andere Tools zur Sicherheitsüberwachung zu verwenden, um die Legitimität aller neuen Dateien in der Umgebung seit dem 2. Juli zu überprüfen. Bei den Anbietern von Sicherheitsprodukten fragen, ob Schutzmaßnahmen für REvil-Ransomware vorhanden sind. Und wenn Hilfe benötigt wird, Experten hinzu zu ziehen, um die Situation in der IT-Umgebung zu verifizieren. Auch Trend Micro hat hier einige Schlussfolgerungen zum Fall veröffentlicht.

Ähnliche Artikel:
REvil Ransomware-Befall bei 200 Firmen über Kaseya VSA und Management Service Provider (MSP)
Coop-Schweden schließt 800 Geschäfte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang
Neues zum Kaseya VSA-Lieferkettenangriff und zum Coop-Schweden-Fall
Kaseya-Hack betrifft weltweit 1.500 Firmen, auch in Deutschland


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu Nachbereitung zum Kaseya-Lieferkettenangriff

  1. Gerold sagt:

    Gibt noch ein weiteres Problem, Phishing-Angriffe auf betroffene Firmen:

    Kaseya warns of phishing campaign pushing fake security updates

    https://www.bleepingcomputer.com/news/security/kaseya-warns-of-phishing-campaign-pushing-fake-security-updates/

  2. Bernd sagt:

    Wäre man als Endbenutzer geschädigt, wenn man statt Windows Linux oder macOS verwendet hätte?

  3. No sagt:

    Frage: Stimmt es, dass im Kasedy-Angriff die Shadow-Dateien nicht gelöscht wurden:

    https://www.youtube.com/watch?v=NseGdvoEbbY

    Colin Hardy macht eigentlich gute Analysen, aber das Argument mit mit der Shadow-Datei bringt er so beiläufig. Wenn es richtig wäre, könnte eine Wiederherstellung der Daten möglich sein.

    Sorry, falls ich das Video falsch verstanden habe.

  4. 1ST1 sagt:

    Bin mal gespannt, wann der nächste derartige Softwarehersteller geknackt wird, vielleicht als näachstes dann z.B. Newtrix?

  5. Olli sagt:

    Die Aufregung ist doch komplett egal. Das Einzige was hilft ist Backup, Backup, Backup und noch mal Backup und genug davon Offline und Langzeit.

    Wenn ich lese die Verantwortlichen sollen/müssen handeln – wie denn?

    Jede dumme Fachsoftware prüft heutzutage 1 mal stündlich ob es ein Update gibt – im Falle von Virenscannern, Firewalls und Co. werden die auch automatisch installiert. Bei eine CAD-Anwendung oder einer Software zur Immobilienverwaltung – immerhin noch manuell.

    Aber glaubt denn wirklich jemand eine Hausverwaltungsfirma wäre in der Lage einen Aufwand zu betreiben der nötig wäre vor Installation des Software-Updates zu prüfen ob das Update manipuliert ist?

    Hackt ein Hacker VSA, hackt damit ein Systemhaus, hackt darüber den Hersteller der Immo-Software, liefert das Ding an hunderte Haus-Verwaltungen aus…

    Soll die Haus-Verwaltung jetzt den Laden besser gleich zu machen, weil es eben nur zwei bis drei ernstzunehmen Anbieter solcher Software gibt und damit kaum eine andere Wahl bleibt?

    Und das ist keine SaaS, das ist On-Premise. Da kann man nur hoffen, dass der Fachanwendungsanbieter seinen Laden im Griff hat. Oder sollen wir wieder zurück zu Updates per CD pro Quartal? Wenn der Schädling darin schlummert (why not) – nutzt es auch nichts.

    Die einzigen denkbaren Lösungen können nur sein auf Providerebene "auffälligen" Traffic just-in-time zu blocken und die betroffen Systeme vom Netz zu nehmen – Cut komplett***. Und als zweites muss es halt einen Immensen Aufwand geben die Schuldigen zu finden und ihnen physikalisch habhaft zu werden. Das müssten dann wohl die Drei-Buchstaben-Dienste durchführen…

    *** Falls ein Provider da nicht mit macht, weil es ihm egal ist was in seinem Netzwerk passiert, müssen eben alle anderen Provider das Peering zu so einem Provider kappen – wenn dem dann 95% seiner braven Kunden auf das Dach steigen, wird er den Knall schon vernehmen…

    • Uwe Bieser sagt:

      Backups haben die meisten Firmen auch. Damit rechnen Hacker auch längst und schleußen Malware peu a peu ein und schlagen erst später zu.

      Ich habe mal mit einem Mitarbeiter der Pilz-Gruppe über deren Malwarebefall gesprochen, der vor über 18 Monaten auch Thema hier im Blog war.
      Natürlich hatten die Backups, man hat sich aber nicht getraut diese einzuspielen, weil man nicht wusste wann die Malware auf das System gelangt ist. Ein erneuter Malwarebefall nach wenigen Wochen, wegen eines infizierten Backups, hätte dem Ansehen der Firma nachhaltig geschadet.

  6. Schrägar der Heckliche sagt:

    Krass. Laut dem verlinkten Heise-Artikel patcht REvil – mit angeblichem Kaseya VSA-Update – ausgerechnet den Windows-Defender mit einer veralteten Version, die offensichtlich eine dll-Injektion-Schwachstelle enthält. Der Windows-Defender läuft natürlich als legitimer System-Prozess mit gültiger Microsoft-Signatur. Der neue (alte) Windows-Defender lädt per dll-Injektion den eigentlichen Verschlüsselungs-Trojaner nach…

    Die IT-Sicherheit ist *nicht* lückenhaft. Sie ist eine Illusion…

    • Stephan sagt:

      Hätte uns bloß jemand davor gewarnt!!1!1eins

      https://www.borncity.com/blog/2020/12/20/sunburst-hack-microsofts-analysen-und-neues/#comment-98724

      Aber schön, daß es jetzt endlich ein praktisches Beispiel zum Vorzeigen gibt.

      • Schrägar der Heckliche sagt:

        Stimmt! Sogar eine sehr exakte Prophezeiung :)

        Ich hatte den Kommentar sogar gelesen, habe aber die Verbindung nicht gleich hergestellt.

        Bin auch der Meinung, daß der Linux/Unix-Ansatz (Paket-Management zieht Updates aus vom Distributor gepflegtem Repository) der bessere ist. Allerdings gab es da – vor allem in den App Stores von Google und Apple – auch schon heftige Unfälle…

        • Stephan sagt:

          Es war immer eine offensichtliche Angriffsstrategie. Es war nur vorher nie nötig, solange es billigere Angriffsmöglichkeiten gab. War aber klar, daß das früher oder später kommt.

          Ich hätte diese Strategie aber eher bei Geheimdiensten und ähnlichen Angreifern vermutet, die gezielt arbeiten und unauffällig in Rechner und Netze eindringen wollen. Daß so 0815-Malware für den Massenbefall schon so einen Angriff fährt, finde ich auch erstaunlich.

  7. Dekre sagt:

    Also wenn ich das Ganze jetzt – dank Günters Aufarbeitung (Danke dafür!) – sehe,
    so konnte man das System angreifen, weil:

    a) Kaseya kein Update auf bekannte Lücken bereitstellte,
    b) Wenn Kaseya Updates hatte, diese nicht von den Benutzern installiert wurden,
    c) die AV-Scanner bei den Benutzern von MS etc. nicht aktuell waren. Den diese hätten wohl auch dann Alarm geschlagen.

    Ist das so richtig? Oder fasse ich es nicht richtig zusammen?

    Das Wichtige ist doch, auch daraus zu lernen. Auch ob man die Verschlüsselung dann so lösen kann. Natürlich wäre ein zeitnahes Sicherheitsbackup sinnvoll. Doch das ist wieder ein anderes Thema.

Schreibe einen Kommentar zu Stephan Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.