Le ransomware REvil, qui touche actuellement diverses entreprises se propage en partie via une vulnérabilité dans Kaseya VSA, un logiciel de gestion informatique à distance. L'entreprise travaillait déjà activement avec l'Institut néerlandais pour la divulgation des vulnérabilités (Dutch Institute for Vulnerability Disclosure ou DIVD) à la préparation d'un correctif, mais c'est arrivé juste trop tard.

Le DIVD est une organisation volontaire néerlandaise qui collecte les vulnérabilités et les communique aux parties concernées. Dans un billet de blog, le président Victor Gevers explique comment Wietse Boonstra, chercheur au DIVD, a découvert un certain nombre de vulnérabilités non découvertes auparavant (zero day) dans Kaseya VSA. Celles-ci ont été découvertes au cours d'un examen plus approfondi des outils de gestion du système et signalées à Kaseya elle-même.

M. Gevers souligne que l'entreprise a toujours été coopérative depuis lors. "Après cette crise, la question de savoir qui est à blâmer se posera. De notre côté, nous tenons à dire que Kaseya a été très coopérative. Dès qu'elle a été informée des vulnérabilités que nous avons découvertes, nous avons coopéré et sommes restés en contact de manière continue."

Kaseya a également demandé au DIVD un feed-back sur les correctifs partiels, afin d'évaluer leur impact. L'entreprise n'a donc pas ignoré les avertissements de l'organisation de sécurité.

"Tout au long du processus, Kaseya a montré qu'elle veut faire tout ce qui est en son pouvoir pour résoudre le problème pour ses clients. L'entreprise était déterminée à faire ce qu'il fallait. Mais nous avons malheureusement été assaillis par REvil lors du dernier sprint, lequel a pu exploiter la vulnérabilité avant que les clients ne puissent appliquer les correctifs."

Prévenir les dommages

Bien que l'attaque n'ait pas été complètement évitée, le travail du DIVD et de Kaseya a permis de limiter en grande partie les dégâts. Non seulement l'entreprise était déjà prête avec un correctif, mais les deux organisations ont également collaboré ces derniers jours.

Les clients ont dès lors assez rapidement pu être informés et le nombre de systèmes exécutant Kaseya VSA qui étaient accessibles depuis l'Internet est ainsi passé de 2 200 à 140 au cours du week-end. D'autres CERT nationales ont également été informées et le message de ne pas utiliser Kaseya VSA pour le moment a été rapidement diffusé dans le monde entier.

Kaseya elle-même recommande actuellement de garder les serveurs sur site hors ligne. Pour les clients SaaS, les centres de données seront redémarrés progressivement. Dans sa mise à jour, l'entreprise fournit également un outil permettant de vérifier si un système (un serveur ou un terminal) a été compromis ou non.

Le ransomware REvil, qui touche actuellement diverses entreprises se propage en partie via une vulnérabilité dans Kaseya VSA, un logiciel de gestion informatique à distance. L'entreprise travaillait déjà activement avec l'Institut néerlandais pour la divulgation des vulnérabilités (Dutch Institute for Vulnerability Disclosure ou DIVD) à la préparation d'un correctif, mais c'est arrivé juste trop tard.Le DIVD est une organisation volontaire néerlandaise qui collecte les vulnérabilités et les communique aux parties concernées. Dans un billet de blog, le président Victor Gevers explique comment Wietse Boonstra, chercheur au DIVD, a découvert un certain nombre de vulnérabilités non découvertes auparavant (zero day) dans Kaseya VSA. Celles-ci ont été découvertes au cours d'un examen plus approfondi des outils de gestion du système et signalées à Kaseya elle-même.M. Gevers souligne que l'entreprise a toujours été coopérative depuis lors. "Après cette crise, la question de savoir qui est à blâmer se posera. De notre côté, nous tenons à dire que Kaseya a été très coopérative. Dès qu'elle a été informée des vulnérabilités que nous avons découvertes, nous avons coopéré et sommes restés en contact de manière continue."Kaseya a également demandé au DIVD un feed-back sur les correctifs partiels, afin d'évaluer leur impact. L'entreprise n'a donc pas ignoré les avertissements de l'organisation de sécurité."Tout au long du processus, Kaseya a montré qu'elle veut faire tout ce qui est en son pouvoir pour résoudre le problème pour ses clients. L'entreprise était déterminée à faire ce qu'il fallait. Mais nous avons malheureusement été assaillis par REvil lors du dernier sprint, lequel a pu exploiter la vulnérabilité avant que les clients ne puissent appliquer les correctifs."Prévenir les dommagesBien que l'attaque n'ait pas été complètement évitée, le travail du DIVD et de Kaseya a permis de limiter en grande partie les dégâts. Non seulement l'entreprise était déjà prête avec un correctif, mais les deux organisations ont également collaboré ces derniers jours.Les clients ont dès lors assez rapidement pu être informés et le nombre de systèmes exécutant Kaseya VSA qui étaient accessibles depuis l'Internet est ainsi passé de 2 200 à 140 au cours du week-end. D'autres CERT nationales ont également été informées et le message de ne pas utiliser Kaseya VSA pour le moment a été rapidement diffusé dans le monde entier.Kaseya elle-même recommande actuellement de garder les serveurs sur site hors ligne. Pour les clients SaaS, les centres de données seront redémarrés progressivement. Dans sa mise à jour, l'entreprise fournit également un outil permettant de vérifier si un système (un serveur ou un terminal) a été compromis ou non.