De MSP waarschuwen
Medio 2020 kwam Kaseya met onderzoek waarin het wees op de cruciale rol die MSPs vervullen. Het bedrijf zag dat de MSP steeds vaker en gerichter als steppingstone werd misbruikt. ITchannelPRO heeft aan dat onderzoek aandacht besteed en de waarschuwing gedeeld met de lezers.
Met de kennis van nu is komt die melding bijna bizar over. Eerst bleek de software van SolarWinds te zijn gehackt zodat via de MSPs de eindklanten konden worden geïnfiltreerd. Enkele maanden later was Kaseya zelf het haasje. Deze keer was de MSP niet de steppingstone om data van zijn klanten te stelen. Nu ging het om ransomware bij zowel de MSP als al zijn klanten en mogelijk de klanten van die klanten.
DIVD
In Nederland bestaat sinds enige jaren een vrijwilligersorganisatie die zich inzet het internet veiliger te maken. Alle vrijwilligers en partners zijn professionals die dagelijks te maken hebben met onder andere security, data en privacy. Het is deze club die als lek bij Kaseya ontdekte. Zoals gebruikelijk is bij het vinden van kwetsbaarheden is grondig getest en contact opgenomen met de software vendor. Daar zijn internationaal erkende procedures voor. DIVD is inmiddels ook bekend genoeg in en buiten Nederland bij de CERTs en waakdiensten. Als aan de bel wordt getrokken is er ook echt iets aan de hand.
De schrijvende pers, radio en tv hebben de afgelopen weken stilgestaan hoe DIVD contact opnam met Kaseya en hoe voorspoedig die samenwerking ging. Helaas drukten de cybercriminelen eerder op de startknop om de grootste ransomware aanval te beginnen dan alle systemen met kwetsbare Kaseya software offline waren gehaald of gepatched. Daardoor zijn er in landen als Italië en de Verenigde Staten uiteindelijk toch duizenden systemen besmet geraakt. In Nederland bleef de schade beperkt tot tientallen servers. Nog steeds veel, maar het betekende wel dat ongeveer 90 procent van de kwetsbare systemen op tijd was gefixed.
Kwetsbare systemen
De aanvallen op en via SolarWinds en nu dan Kaseya konden niet alleen slagen omdat de software fouten bevatte. Natuurlijk maakt dat de systemen kwetsbaar. Maar een kwetsbaar systeem wordt nog veel gevaarlijker als het aan het internet hangt.
Precies daar heeft DIVD tijdens het gesprek meerdere keren op gewezen. “We zagen en zien nog steeds dat dit soort software gewoon naar het internet gericht openstaat,” zegt Victor Gevers. “Dat lijkt makkelijk zo’n webportaal voor klanten en beheer, maar het is wel de kat op het spek binden.”
Inderdaad is met Shodan, maar ook via de reguliere favoriete zoekmachine, heel eenvoudig een overzicht te generen van waar die controlepanels draaien en zichtbaar zijn, met IP adressen, poortnummers en meer. Die lijst met (potentieel) kwetsbare systemen wordt natuurlijk ook door de cybercriminelen bijgehouden en bij de eerste gelegenheid gebruikt.
Van zebrapad naar VPN
“Dit soort software is ontwikkeld in een periode dat het internet nog overzichtelijker en veiliger was,” geeft Victor aan en trekt de volgende vergelijking. “Vroeger kon je de straat oversteken door een keer naar links en rechts te kijken. Er is nu zoveel verkeer en het is zo onoverzichtelijk dat je meerdere keren moet kijken. Nog beter is consequent het zebrapad te gebruiken.”
Die vergelijking vertalen naar internetgebruik betekent voor de MSP en zijn klanten dat het webportaal voor beheer niet meer zomaar via het internet toegankelijk mag zijn. Beter nog is alles achter een VPN te zetten. “We weten dat je dan als reactie krijgt dat dit het gebruik een stuk lastiger maakt. Het is vooral een kwestie van gewenning, net als de eerste keer de autogordels omdoen.”
Geo-filtering aanzetten
Wat DIVD de MSP ook meegeeft is geo-filtering aan te zetten. Victor: “De meeste MSPs die wij de laatste periode voorbij zagen komen hebben dat niet geregeld. De kans dat je legaal verkeer uit China en Rusland krijgt is gering, dus blokkeer gewoon die toegang. Je verkleint zo het risico voor jezelf en je klanten.”
Buiten de boot vallen
Met het afschermen van de beheersoftware en het aanzetten van geo-filtering verkleint de MSP zijn aanvalsoppervlak. Wat hij zo niet kan voorkomen is dat nieuwe kwetsbaarheden opduiken. Grotere bedrijven en overheden hebben daarvoor netwerken met waakdiensten. “In principe zijn dat soort informatie kanalen er ook voor de MSP en kleinere IT beheerders,” vertelt Victor. “We zien echter wel dat niet iedereen daarbij aangesloten is of zelfs maar weet heeft van het bestaan.”
Er zijn dus partijen die hier buiten de boot vallen. Dat is een situatie die ook in andere landen voorkomt. Het opbouwen van platformen van kennis en informatie die 24/7 kunnen schakelen kost tijd en geld. Dat President Biden met een Executive Order de overheidsdiensten in Amerika nu verplicht deze manier van werken te starten geeft daarbij wel aan dat informele – maar wel uiterst professionele clubs – het verschil betekenen tussen een tsunami en een incident met beperkte impact.
Vindbaar en bereikbaar
Het is een publiek geheim dat tot op het hoogste Amerikaanse niveau naar de werkwijze van DIVD is gekeken. Onze manier van efficiënt en informeel snel schakelen als het nodig is heeft indruk gemaakt. De MSPs in ons land hadden daardoor minder last van het Kaseya lek dan waar dan ook ter wereld.
Maar dat wil volgens Victor nadrukkelijk niet zeggen dat wij het hier alles goed voor elkaar hebben. “Er zijn heel veel MSPs en vergelijkbare partijen in Nederland. Niet iedereen is aangesloten of makkelijk vindbaar. Wij hebben weer heel veel tijd moeten stoppen om iedereen op tijd te kunnen waarschuwen. Dat is zoals bekend ook niet gelukt.“
Het MSP probleem blijft bestaan
Dat het deze keer voor Nederland nog net aan goed is afgelopen kan het verkeerde signaal afgeven. Zoveel is wel duidelijk uit het gesprek met DIVD. Dit soort aanvallen blijft doorgaan en zal toenemen.
Het probleem voor de MSPs daarbij is dat zij op een plek in de keten zitten waar de aanvallers het eerste de pijlen op richten. Voor de cybercriminelen levert het namelijk de grootste kans op groot rendement op. Daarom moet elke MSP volgens DIVD echt betere en structurele maatregelen treffen.