Après avoir surpris tout le monde en fin de semaine dernière, l’attaque menée par le gang de ransomware REvil en s’appuyant sur une faille dans l’outil de gestion des infrastructures IT VSA de Kaseya soulevait plusieurs interrogations. Et notamment sur la chronologie de la découverte de cette faille découverte par des chercheurs en sécurité du DIVD (l’institut néerlandais de découvertes des vulnérabilités).

Ces derniers viennent de lever le voile sur la chronologie et une description des failles. Ils ont en effet non pas trouvé une vulnérabilité, mais 7 (liste ci-dessous). Six de ces brèches affectaient à la fois les versions SaaS et on prem, mais une ne touchait que la version sur site. En matière de date, l’équipe du DIVD a commencé ses recherches sur VSA le 1er avril dernier et a signalé son premier problème le 6 avril. 4 jours après, Kaseya a publié son premier patch. Ce processus s’est poursuivi au cours des 3 mois suivants et l’éditeur a publié des correctifs le 8 mai et le 26 juin. Il a travaillé de concert avec les chercheurs qui ont pu vérifier les patchs.

Zoom détaillé sur les failles

- CVE-2021-30116- Une fuite d’identifiants et une faille business logic, qui sera incluse dans la prochaine mise à jour 9.5.7 pour les systèmes sur site ; corrigée dans les versions SaaS le 26 juin ;

- CVE-2021-30117- Une faille d'injection SQL, résolue dans le patch du 8 mai ;

- CVE-2021-30118- Une vulnérabilité d'exécution de code à distance, résolue dans le patch du 10 avril (v9.5.6) ;

- CVE-2021-30119- Une vulnérabilité de type cross site scripting, à inclure dans la version 9.5.7 ;

- CVE-2021-30120- Contournement de 2FA, (authentification à double facteur) à résoudre dans la v9.5.7 ;

- CVE-2021-30121 - Une vulnérabilité d'inclusion de fichier local, résolue dans le patch du 8 mai ;

- CVE-2021-301201 - Une vulnérabilité d'entité externe XML, résolue dans le patch du 8 mai.

Des zones d'incertitudes existent encore

Au moment de l’attaque, quatre des sept failles signalées à Kaseya avaient été complètement corrigées. Laquelle a été utilisée ? L’équipe de chercheurs ne veut pas donner plus de précisions tant que Kaseya n’aura pas terminé le déploiement des correctifs. Elle précise juste que la faille utilisée dans l’attaque avait déjà été signalée.

L'éditeur a indiqué hier qu’il travaille toujours à la restauration de ses systèmes SaaS (un premier redémarrage le 6 juillet a été depuis stoppé). Après, la firme prévoit de publier des patchs pour les clients sur site (normalement le 11 juillet). A la suite de l’attaque, elle avait demandé aux clients de débrancher les serveurs VSA. Selon un rapport, Kaspersky a constaté 5 000 tentatives d'infection dans 22 pays au cours des trois jours qui ont suivi la détection de la première attaque. Le gang REvil a proposé un décrypteur universel pour un montant de 70 millions de dollars.

La communauté cyber s’est penchée sur cette affaire. Tenable estime dans une analyse que le gang REvil aurait utilisé une combinaison de 3 failles zero days pour cibler VSA : une vulnérabilité de contournement d'authentification, un bug de téléchargement de fichier arbitraire et une faille d'injection de code. Les soupçons portent sur la CVE-2021-30116 qui n’était alors pas complètement corrigée. Si cela est confirmée, il faudra alors répondre à la question la plus importante : comment REvil s'est procuré cette faille ?