El CEO de Kaseya, Kevin Voccola, se disculpó con los miles de usuarios de la empresa que actualmente no pueden atender sus propias bases de clientes, mientras que tanto las instancias alojadas como locales de su punto final VSA y el servicio de administración de red permanecen fuera de línea luego de un devastador ataque de ransomware por parte del sindicato REvil / Sodinokibi.
La empresa esperaba volver a poner en línea sus centros de datos de software como servicio (SaaS) hace más de 24 horas, pero los problemas técnicos obligaron a restablecer esta línea de tiempo, y las versiones locales de VSA no se pueden reiniciar hasta que la versión SaaS esté disponible. en funcionamiento. Mientras tanto, Kaseya ha publicado un runbook para clientes locales para ayudarlos a prepararse para reiniciar.
“Han sido cinco días muy, muy largos para todos, y quiero expresar mis más sinceras disculpas por no estar al tanto de VSA, que VSA no es accesible para que atienda a sus clientes, a su personal de TI interno y para hacerles la vida más fácil ”, dijo Voccola. “Reconozco… esto apesta. Tomamos esto muy seriamente.
“El hecho de que tuviéramos que eliminar VSA fue muy decepcionante para mí … siento que decepcioné a esta comunidad, decepcioné a mi empresa, nuestra empresa te decepcionó a ti”, dijo.
“La nueva fecha de lanzamiento, en la que confiamos mucho, será este domingo [11 July] a primera hora de la tarde, hora estándar del este ”, añadió Voccola.
Voccola dijo que asumió la responsabilidad de haber retirado el lanzamiento planificado esta semana y lo describió como la decisión más difícil que tuvo que tomar en su carrera.
Kevin Voccola, Kaseya
Dijo que los equipos de Kaseya habían bloqueado las vulnerabilidades explotadas en el ataque y se sentían cómodos con el lanzamiento, pero, siguiendo el consejo de consultores cibernéticos externos y los propios ingenieros de Kaseya, querían tomarse el tiempo para implementar protecciones adicionales y fortalecer el VSA. cuanto más se pueda.
Kaseya fue derribado a última hora del viernes 2 de julio por la pandilla REvil, antes de un fin de semana festivo para la compañía estadounidense.
Entre 50 y 60 de sus clientes de proveedores de servicios administrados (MSP) se vieron afectados, y el impacto acumulativo se extendió a miles de empresas intermedias, muchas de ellas pequeñas, que dependen del canal de TI para su recurso tecnológico.
En particular, la cadena de supermercados sueca Coop se vio obligada a cerrar cientos de tiendas debido a que sus sistemas de pago se desconectaron.
Los operadores de ransomware han exigido 70 millones de dólares por una clave maestra de descifrado y sumas mucho menores a las víctimas individuales (ver imagen abajo), pero Voccola ha expresado su negativa a negociar con los criminales. No se sabe si alguna de las otras empresas afectadas ha iniciado negociaciones.
En las últimas 24 horas, han comenzado a surgir más detalles a través del Instituto Holandés de Divulgación de Vulnerabilidades (DIVD) de las vulnerabilidades precisas explotadas por REvil.
DIVD dijo que ha estado trabajando extensamente entre bastidores en siete vulnerabilidades y exposiciones comunes (CVE) recién descubiertas en el producto VSA desde el 6 de abril.
Estos son CVE-2021-30116, una fuga de credenciales y una falla de lógica empresarial; CVE-2021-30117, una vulnerabilidad de inyección de SQL; CVE-2021-30118, una vulnerabilidad de ejecución remota de código (RCE); CVE-2021-30119, una vulnerabilidad de secuencias de comandos entre sitios (XSS); CVE-2021-30120, un desvío de autenticación de dos factores (2FA); CVE-2021-30121, una vulnerabilidad de inclusión de archivos locales; y CVE-2021-30201, una vulnerabilidad de entidad externa XML.
De estos, 30117, 30118, 30121 y 30201 se han resuelto en parches anteriores, de los cuales ahora se puede inferir que REvil usó uno o más de 30116, 30119 y 30120 para acceder a los sistemas de destino.
El presidente de DIVD, Victor Gevers, dijo que, durante todo el proceso, Kaseya había demostrado que estaba dispuesta a poner el máximo esfuerzo e iniciativa para solucionar el problema y reparar a sus clientes.
“[Kaseya] mostró un compromiso genuino de hacer lo correcto ”, dijo. “Desafortunadamente, REvil nos derrotó en el sprint final, ya que podían explotar las vulnerabilidades antes de que los clientes pudieran parchear”.