A-t-on affaire, avec Kaseya, à un « autre SolarWinds » ? Immanquablement, la question se pose. Mais de quoi parle-t-on vraiment ? D’une attaque que l’éditeur américain a signalée vendredi dernier. La cible : son logiciel de gestion informatique VSA. Celui-ci n’était toutefois qu’un intermédiaire, ouvrant la porte sur les SI de ses utilisateurs. À savoir, essentiellement, des MSP.
L’inquiétude ne porte pas tant sur la version SaaS de VSA – Kaseya a passé en mode maintenance les serveurs qui l’hébergent – que sur les installations on-prem. Le risque : la diffusion, chez les clients des MSP, d’un ransomware (REvil).
Les privilèges dont VSA dispose sur les systèmes Windows visés facilite l’infection. Dans les grandes lignes, elle se déroule ainsi :
Pour suivre l’évolution de la situation, il y a le fil rouge officiel de Kaseya. Aux dernières nouvelles (postées cette nuit), la version SaaS doit redémarrer aujourd’hui, 5 juillet. Pour les instances sur site, il faut s’attendre à un correctif. Lequel supprimera « quelques fonctionnalités anciennes ».
Kaseya fait état d’une quarantaine de victimes au maximum. On retrouve une estimation similaire sur le subreddit des MSP… mais c’est sans compter leurs clients. En les incluant, on en serait plutôt à au moins un millier.
Sur ce même subreddit figurent quelques indicateurs de compromis. Entre autres, une IP AWS qui a envoyé des requêtes GET et POST vers les serveurs VSA. Plus précisément pour détecter l’éventuelle présence – et l’accessibilité par le réseau internet – de certains fichiers. Dont un semblant permettre un contournement d’authentification. Et un autre qui paraît abriter des failles d’injection SQL.
Kaseya a publié un outil destiné principalement à repérer le deuxième fichier. D’autres ressources sont disponibles pour les administrateurs ; par exemple sur ce dépôt GitHub. On aura aussi noté les recommandations des autorités américaines (FBI et CISA). Parmi elles, la systématisation du MFA « sur tout compte que vous contrôlez » et la limitation des communications avec les IP distantes. Ainsi que le placement des interfaces d’administration des outils d’accès distant derrière un VPN ou derrière un firewall sur un réseau dédié.
Quelques victimes se sont déclarées, à l’image de Visma Esscom. L’entreprise suédoise gère notamment des systèmes de paiement en magasin. Soit précisément ce qui a contraint le détaillant Coop (environ 20 % du commerce alimentaire dans le pays) à fermer les portes de centaines de boutiques.
La rançon demandée varie selon les cibles. L’attaque est en tout cas revendiquée sur le « site vitrine » de REvil. Avec un court message : contre 70 millions de dollars, nous déchiffrerons tout…
Illustration principale © Rawpixel.com – Adobe Stock
Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…
Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…
Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…
Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…
Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…
D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).