Connect with us

Technologie

Kaseya s’excuse pour un temps d’arrêt prolongé après une attaque de rançon

Published

on


Le PDG de Kaseya, Kevin Voccola, s’est excusé auprès des milliers d’utilisateurs de l’entreprise actuellement incapables de servir leurs propres bases de clients alors que les instances hébergées et sur site de son point de terminaison VSA et de son service de gestion de réseau restent hors ligne à la suite d’une attaque dévastatrice par ransomware par le syndicat REvil / Sodinokibi.

La firme espérait remettre en ligne ses centres de données Software-as-a-Service (SaaS) il y a plus de 24 heures, mais des problèmes techniques ont forcé la réinitialisation de ce calendrier, et les versions sur site de VSA ne peuvent pas être redémarrées tant que la version SaaS n’est pas opérationnelle. En attendant, Kaseya a publié un runbook pour les clients sur site pour les aider à se préparer au redémarrage.

« Cela a été un long, long cinq jours pour tout le monde, et je tiens à exprimer mes sincères excuses que vous n’êtes pas sur VSA, que VSA n’est pas accessible pour vous de servir vos clients, de servir vos gens informatiques internes, et de vous faciliter la vie », a déclaré Voccola. « Je reconnais[…]Ça craint. Nous prenons cela très au sérieux.

« Le fait que nous ayons dû abattre VSA a été très décevant pour moi… J’ai l’impression d’avoir laissé tomber cette communauté, j’ai laissé tomber mon entreprise, notre entreprise vous a laissé tomber », a-t-il déclaré.

« Le nouveau temps de sortie, en lequel nous sommes très confiants, sera ce dimanche [11 July] en début d’après-midi, heure normale de l’Est », a ajouté M. Voccola.

Voccola a déclaré qu’il avait pris la responsabilité d’avoir retiré la sortie prévue cette semaine et l’a décrite comme la décision la plus difficile qu’il avait eu à prendre dans sa carrière.

« Le fait que nous ayons dû abattre VSA a été très décevant pour moi… J’ai l’impression d’avoir laissé tomber cette communauté, j’ai laissé tomber mon entreprise, notre entreprise vous a laissé tomber »

Kevin Voccola: Kaseya

Il a déclaré que les équipes de Kaseya avaient verrouillé les vulnérabilités exploitées dans l’attaque et se sentaient à l’aise avec la libération, mais, sur les conseils de consultants en cybersécurité tiers et des propres ingénieurs de Kaseya, elles voulaient prendre le temps de mettre en place des protections supplémentaires et de durcir VSA autant que possible.

Kaseya a été abattu en fin de journée le vendredi 2 juillet par le gang REvil, avant un week-end de vacances pour la société américaine.

Entre 50 et 60 de ses clients fournisseurs de services gérés (MSP) ont été touchés, l’impact cumulatif s’étendant à des milliers d’entreprises en aval – dont beaucoup sont de petite taille – qui dépendent du canal informatique pour leurs ressources technologiques.

Plus particulièrement, la chaîne de supermarchés suédoise Coop a été contrainte de fermer des centaines de magasins en raison de la mise hors ligne de ses systèmes de paiement.

Les opérateurs ransomware ont exigé $70m pour une clé de décryptage maître, et des sommes beaucoup plus petites de victimes individuelles (voir l’image ci-dessous), mais Voccola a exprimé haut et voix son refus de négocier avec les criminels. On ne sait pas si l’une des autres entreprises touchées a entamé des négociations.

Au cours des dernières 24 heures, plus de détails ont commencé à émerger via le Dutch Institute for Vulnerability Disclosure (DIVD) des vulnérabilités précises exploitées par REvil.

DIVD a déclaré qu’il avait beaucoup travaillé en coulisses sur sept vulnérabilités et expositions communes (CVE) nouvellement découvertes dans le produit VSA depuis le 6 avril.

Ce sont CVE-2021-30116, une fuite d’informations d’identification et une faille de logique métier; CVE-2021-30117, une vulnérabilité d’injection SQL; CVE-2021-30118, une vulnérabilité d’exécution de code à distance (RCE) ; CVE-2021-30119, une vulnérabilité de script inter-sites (XSS) ; CVE-2021-30120, une authentification à deux facteurs (2FA) contournement; CVE-2021-30121, une vulnérabilité d’inclusion de fichiers locaux; et CVE-2021-30201, une vulnérabilité d’entité externe XML.

Parmi ceux-ci, 30117, 30118, 30121 et 30201 ont été résolus dans les correctifs précédents, dont on peut maintenant déduire que REvil a utilisé un ou plusieurs des 30116, 30119 et 30120 pour accéder aux systèmes cibles.

Le président de DIVD, Victor Gevers, a déclaré que, tout au long du processus, Kaseya avait montré qu’elle était prête à mettre un maximum d’efforts et d’initiative pour résoudre le problème et corriger ses clients.

« [Kaseya] a montré un véritable engagement à faire ce qu’il faut », a-t-il déclaré. « Malheureusement, nous avons été battus par REvil dans le sprint final, car ils pouvaient exploiter les vulnérabilités avant même que les clients ne puissent patcher. »

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance