Sécurité applicative : pourquoi passer au DevSecOps ?

L'Attaque Kaseya, quelles leçons à tirer ?

Sécuriser
Auteur.e :
Didier Moreau

Contexte

Kaseya est une société dont le siège est à Miami et qui se donne pour mission de faciliter la vie des DSI en prenant en charge les tâches informatiques fastidieuses telles que la mise à jour des logiciels courants qui sont constamment patchés pour tenir compte des failles de sécurité, en français Kaseya fait de l’infogérance, en anglais, on parle de « managed service providers (MSPs) ».

Kaseya est un cas de ransomware typique d’une attaque bien organisée par REvil un groupe de Hackers russes. Il s'agit d'une attaque qualifiée de Supply Chain dédiée à la diffusion d'un ransonware. Elle a beaucoup de similitudes avec l’attaque Solarwind.

Elle exploite une vulnérabilité du logiciel VSA de Kaseya, VSA prend le contrôle à distance des Machines pour effectuer les mises à jour, il doit donc disposer des privilèges de niveau administrateur, ce qui en fait une cible de choix.

L'attaque Kaseya est qualifiée d’attaque Supply Chain car Kaseya est un fournisseur pour les sociétés victimes de l’attaque.

L’architecture de VSA étant mondiale, il y a une plateforme centrale en cloud SaaS et des serveurs hébergés chez les clients de VSA qui agissent eux-mêmes comme des redistributeurs, des MSP sur leur marché local.

L’attaque est déclenchée le vendredi 2 juillet 2021, la veille du long week-end du 4 juillet aux États-Unis. Remarquons que le meilleur moment pour lancer une attaque sont justement les veilles de week-end ou encore mieux, comme dans ce cas, la fête nationale américaine.

Les équipes informatiques sont à la plage ou devant un barbecue et en conséquence la défense informatique repose sur l’astreinte qui est assurée par une équipe réduite et pas toujours au top niveau. Avant qu’un évènement anormal significatif d’une attaque soit identifié, il peut s’écouler du temps, et les attaquants tablent sur le fait que les victimes ne réaliseront leur malheur qu'à leur retour au travail, en l’occurrence le mardi 6 juillet, le lundi 5 étant férié.

Il faut aussi tenir compte du fait que la plupart des utilisateurs finaux des fournisseurs de services gérés "n'ont aucune idée" des logiciels qui font fonctionner leurs réseaux, c’est ce qu’a déclaré Fred Voccola le CEO de Kaseya, on ne peut pas leur reprocher puisque justement Kaseya le fait pour eux.

Chronologie de l’attaque

En avril 2021, une vulnérabilité CVE-2021-30116. de type « zéro day » c’est-à-dire inconnue jusqu’à ce jour, est découverte dans le logiciel VSA par des chercheurs en cybersécurité hollandais du « Dutch Institute for Vulnerability Disclosure » elle n’est pas rendue publique, mais elle est communiquée à Kaseya, aussitôt les équipes de Kaseya cherchent à la corriger, mais le groupe russe REvil est plus rapide et l’exploite le 2 juillet 2021.

La vulnérabilité porte sur la page Web d’interface de VSA, on peut tromper la procédure d’authentification, en exploitant cette faille les attaquants réussissent à contourner les premiers contrôles d’authentification de la plateforme centrale VSA et à forger des sessions légitimes pour télécharger une charge malveillante se présentant comme une mise à jour urgente et légitime référencée "Kaseya VSA Agent Hot-fix" elle est donc acceptée par la chaine des serveurs VSA, ils font confiance à tort à leur serveur SaaS habituel.

La charge malveillante se répand comme une trainée de poudre et exécute ses commandes néfastes via une injection SQL, les machines des clients VSA voient leurs accès administrateurs bloqués et les fichiers sont chiffrés et inaccessibles, c'est un ransomware mais à très grande échelle.

 Dans l’après midi du 02 juillet, au vu des premières alertes, les équipes de Kaseya comprennent l’ampleur de l’attaque et le management de Kaseya d’abord hésitant prend la bonne décision de prévenir ses clients par téléphone vu l’urgence en leur demandant de mettre les serveurs secondaires hors ligne et aussi de fermer la plateforme centrale SaaS pour éviter la propagation du malware. Arrêter les serveurs VSA a pour conséquence de forcer les entreprises clientes à ralentir ou à arrêter leurs activités.

Fred Voccola le C.E.O annonce « nous avons une faille potentielle ne concernant qu’un petit nombre de nos clients ». Le FBI est activé ainsi que la Cybersecurity and infrastructure Security Agency (CISA) une agence fédérale américaine, des sociétés de sécurité privées (mandiant, FireEye) sont aussi appelées en renfort.

Chez nous en Europe, le samedi 3 juillet après midi en Suède, la chaine de supermarché Coop ferme ses 800 magasins, les caisses enregistreuses ne fonctionnent plus, impossible aussi d’avoir du carburant aux pompes. D’autres pays dans le monde sont aussi affectés.

Le dimanche 4 juillet, Kaseya déclare être victime d’une attaque sophistiquée.

Le 5 juillet, REvil déclare être derrière l’attaque.

Les pirates demandent une rançon de 70 millions de dollars à Kaseya pour fournir la clef de déchiffrage. Puis 50 millions de dollars au bout de quelques heures, ensuite, c'est dégressif, 5 millions pour les MSP secondaires et 44 999 dollars pour les victimes du bout de la chaine.

On peut considérer que le prix de la rançon obéit à une démarche marketing, c’est environ 10% des dommages potentiels infligés à la victime, aux États-Unis il est interdit de payer les rançons.

Officiellement, Kaseya ne paie rien, mais  fournit, le 6 juillet, une clef de déchiffrage efficace aux victimes.

Le 13 juillet, REvil disparait d’internet.

Le 22 juillet, la porte-parole de Kaseya dit que la clef vient d’une source de confiance tierce partie, sans plus de précisions.

Le 23 juillet, le président des États-Unis Joe Biden accuse la Russie d’être à l’origine de l’attaque qui a paralysé 1500 entreprises U.S et a couté des millions de dollars, on imagine bien la réaction du russe moyen.

Leçons à tirer de cette attaque

Avec le recul, qu’aurait-il fallu faire pour éviter cette attaque ou au moins la mitiger ?

On n’a malheureusement plus de questions que de réponses.

Dans cette attaque sophistiquée tout a été une question de rapidité de réaction après la divulgation de la vulnérabilité par les Hollandais, les attaquants ont été les plus rapides, sans doute disposaient-ils d’une équipe plus nombreuse que Kaseya, ou connaissaient-ils la vulnérabilité depuis un certain temps et avait eu donc le temps de préparer l’attaque.

Les attaquants ayant bien visé le sommet de la structure pyramidale de VSA la décision de fermer la plateforme SaaS a été la bonne, elle a évité une contamination plus grave bien que naturellement l’image de Kaseya en ait été affectée.

Le groupe REvil suit les évolutions de l’informatique actuelle, il fait en quelque sorte de la R&D sur les malwares par des informaticiens de haut niveau et offre un « Ransomware as a Service » à des attaquants moins pointus, les affiliés qui vont chercher des cibles permettant de maximiser leur investissement de départ, son produit phare si l’on peut dire est Sodinokibi mais il est réservé au russophone, c’est tout un éco système qui s’est mis en place.

Une équipe réseau dédié Cybersécurité aurait, quant-à elle, repéré le malware avec une Intrusion Detection System (I.D.S) ou mieux encore une Intrusion Prevention System (I.PS) comme il s’agissait d’un Zéro Day c’est douteux, un IDS se base sur les menaces connues, un IPS aussi, mais il peut aussi analyser un comportement anormal, mais l’attaque a simulé un comportement attendu du SaaS ….

La solution proposée par certains consultants est de prendre une cyber assurance, mais dans l’état actuel les compagnies d’assurance ne savent pas quantifier le risque cyber et ne peuvent pas l’assurer convenablement.

Ce cas démontre aussi qu’en Cybersécurité l’avantage est clairement du côté offensif, c'est le contraire du domaine militaire ou l’on considère que lors d’une attaque l’avantage est à la défensive, il n’était pas facile d’attaquer un château fort au moyen-âge ou d’attaquer les défenses du mur de l’atlantique en juin 1944.

Le débat aussi est ouvert sur la question de savoir s'il faut rendre publique les vulnérabilités découvertes par les chercheurs en cybersécurité, l’argument avancé est que la correction arrive rapidement par la communauté cyber.

Référence :

Retour à l'acceuil
Nos derniers articles
Pourquoi passer au DevSecOps
Cyber conseils
Allô ? Ici le PBX Hacking
Lire l'article
Pourquoi passer au DevSecOps
News Seela
Intelligence Autonome : le cas Uber
Lire l'article
Pourquoi passer au DevSecOps
Sécuriser
L'Attaque Kaseya, quelles leçons à tirer ?
Lire l'article
Accéder à tous les articles