Vorwürfe wegen man­gelnder Security-Praktiken bei Kaseya

13. Juli 2021, 11:34
image

Das Hack-Opfer hat nun einen Patch ver­öffentlicht und die Server wieder­hergestellt. Offenbar waren im Unter­nehmen die Security-Probleme bekannt.

Das Softwareunternehmen Kaseya hat bekannt gegeben, dass es einen Patch für die On-Premises-Nutzer der Fernwartungssoftware Virtual Systems Administrator (VSA) veröffentlicht habe. Ausserdem seien am Montagmorgen, 12. Juni die Server hochgefahren worden. Somit sind nun die SaaS-Kunden wieder online, nachdem sie nach dem Ransomware-Angriff auf Kaseya mehr als eine Woche offline waren.
Ganz reibungslos verlief dieser Prozess nicht. Am Montagnachmittag erklärte Kaseya: "Durch die grosse Anzahl von Anwendern, die innerhalb eines kurzen Zeitfensters wieder online waren, haben wir einige Leistungsprobleme festgestellt." Man habe einige Konfigurationsänderungen vorgenommen und müsse die Server neu starten.
Am 3. Juli meldete Kaseya, dass die Fernwartungssoftware Virtual Systems Administrator (VSA) von der REvil Ransomware getroffen wurde. Das Unternehmen nahm seine SaaS-Dienste offline und forderte auch On-Premises-Kunden auf, ihre VSA-Server offline zu nehmen. Vom Vorfall betroffen waren laut Angaben des Kaseya-CEO Fred Voccola weniger als 0,1% der Kunden.
Da aber Managed Service Provider (MSPs) zu den Kunden gehören, könnte der Kreis der insgesamt Betroffenen grösser sein. Derzeitige Schätzungen gehen davon aus, dass bis zu 1500 KMU von einer Ransomware-Kompromittierung durch ihren MSP betroffen sein könnten.

Mitarbeiter haben offenbar auf Probleme hingewiesen

Mitarbeitende von Kaseya hätten bereits vor Jahren auf kritische Sicherheitslücken aufmerksam gemacht, berichtet 'Bloomberg'. Zwischen 2017 und 2020 hätten Angestellte gegenüber ihren Vorgesetzten "weitreichende Cybersicherheitsbedenken" geäussert.
Zu den grösseren Problemen gehören demnach Software, die auf veraltetem Code basiere, die Verwendung schwacher Verschlüsselungen und in Klartext auf Plattformen von Drittanbietern gespeicherte Kundenpasswörter. Ausserdem würde das Patch-Management zu wünschen übriglassen, so 'Bloomberg' mit Berufung auf 5 ehemalige Mitarbeitende.
Im Jahr 2019 soll ein Mitarbeitender gar einen 40-seitigen Bericht vorgelegt haben, der auf mehrere Sicherheitslücken hingewiesen habe, schreibt die US-Zeitung weiter (Paywall).  Er sei kurz darauf entlassen worden.
Auf Anfrage von 'Bloomberg' wollte Kaseya sich nicht zum Bericht äussern. Das Unternehmen erklärte, keinen Kommentar zu Angelegenheiten abzugeben, die das Personal oder strafrechtliche Ermittlungen betreffen.
Ein schwedischer Security-Dienstleister, der laut Bericht mehrere Kaseya-Kunden nach dem Angriff unterstützte, habe bei der Überprüfung der VSA-Software in nur wenigen Stunden "schwerwiegende und ausnutzbare Schwachstellen" gefunden. Der Code enthalte eine Mischung aus verschiedenen Programmiersprachen und sei zum Teil veraltet.
Der aktuelle Angriff soll nicht der erste Vorfall gewesen sein, so die ehemaligen Mitarbeitenden weiter. Mindestens zweimal zwischen 2018 und 2019 sollen Kaseya-Produkte für Ransomware-Angriffe verwendet worden sein.

Aktuelle Lücke war beinahe geschlossen

Wie das niederländische Institut für Vulnerability Disclosure (DIVD) erklärte, hätten Forscher am 7. April Schwachstellen im VSA-Tool von Kaseya entdeckt und das Unternehmen darüber informiert. 4 Lücken seien mit Patches im April und Mai geschlossen worden. Weitere seien mit der Version 9.5.7 gefixt worden, die ab 7. Juli für On-Premises-Kunden verfügbar gemacht werden sollte, so die Timeline beim DIVD. Aber 5 Tage vor diesem Termin haben Cyberkriminelle die Lücke ausgenutzt.

Loading

Mehr zum Thema

image

Frauenanteil in den ICT-Berufen seit 30 Jahren fast gleich niedrig

Wir haben die Zahlen des Bundesamts für Statistik zu den ICT-Jobs seit 1990 analysiert. Die krasse Männerdominanz hat sich kaum verändert.

publiziert am 27.1.2023
image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Schwyz erhält einen neuen CIO

Im Sommer wird Marcel Schönbächler die Leitung des Amts für Informatik im Kanton übernehmen.

publiziert am 27.1.2023