En bref
Que s'est-il passé ?
La cible n'est pas une victime finale mais un outil d'administration : Kaseya VSA, un logiciel de gestion et supervision à distance (RMM) qu'utilisent des milliers de prestataires infogéreurs (MSP) pour piloter les parcs de leurs clients. Le compromettre, c'est atteindre d'un coup tous ceux qui en dépendent.
Les attaquants exploitent une vulnérabilité zero-day (CVE-2021-30116) sur les serveurs VSA exposés, combinée à un contournement d'authentification. Ils poussent une fausse mise à jour signée par le mécanisme légitime de Kaseya, qui déploie le rançongiciel directement sur les machines gérées, en abusant de la relation de confiance entre l'outil et les postes qu'il pilote.
Une seule intrusion chez un fournisseur d'outils se propage en cascade à près de 1 500 entreprises en aval. En Suède, la chaîne Coop ferme des centaines de magasins faute de caisses opérationnelles. C'est le risque concentré des logiciels d'administration : un accès privilégié à des milliers de systèmes devient un vecteur de propagation idéal.
Durcir et isoler les plateformes d'administration et de déploiement ; imposer le moindre privilège et la segmentation réseau ; vérifier la provenance des mises à jour à la réception ; préparer un plan de réponse aux incidents fournisseurs.
Chronologie de l'attaque
REvil exploite la faille CVE-2021-30116 et contourne l'authentification sur les serveurs Kaseya VSA exposés sur Internet.
Une mise à jour piégée est diffusée via le mécanisme légitime de Kaseya vers les prestataires infogéreurs (MSP).
Le rançongiciel se déploie sur les parcs gérés ; environ 1 500 entreprises en aval sont touchées.
Kaseya publie un correctif et un outil de détection ; une clé de déchiffrement universelle est obtenue.
Comment l'attaquant a procédé
Cet incident met en jeu les vecteurs d'attaque suivants du catalogue SOCLE ; chacun renvoie à sa fiche, où l'on trouve les exigences qui le neutralisent :
La leçon à en tirer
Durcir et isoler la plateforme de build ; provenance non falsifiable ; intégrité a la réception.
Les exigences SOCLE qui auraient limité cet incident
Cet incident se rattache à 7 exigences du référentiel, par domaine. Les satisfaire n'aurait pas forcément tout empêché, mais aurait réduit la probabilité de l'attaque, limité son impact ou accéléré sa détection :