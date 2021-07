Commentaire sur Kaseya de Matthieu Trivier, Architecte de Solutions chez Semperis.

juillet 2021 par Matthieu Trivier, Architecte de Solutions chez Semperis

Vendredi dernier, le piratage a déclenché une chaîne d’infections compromettant des milliers d’entreprises. Comment ?

Les pirates, comme les chercheurs en sécurité, ont accès à un grand nombre d’outils de base pour scanner internet à la recherche d’ordinateurs vulnérables aux attaques. Mais en infectant les tiers infogérants, le logiciel malveillant a également été transmis aux clients, ce qui a multiplié l’impact.

Kaseya propose une solution cloud de gestion du système d’information et de sécurité appelée VSA , qui permet de contrôler et de surveiller entièrement les terminaux et les réseaux d’entreprise. Cette solution cloud est complétée par une instance sur site du serveur VSA - que les clients déploient dans leur propre réseau. Les infogérants peuvent ainsi gérer les terminaux de leurs clients en utilisant un compte de service Active Directory .

En exploitant un certain nombre de vulnérabilités de type "zero-day" dans le serveur VSA de Kaseya, les cybercriminels, connus sous le nom de REvil, ont déployé un ransomware sur au moins 1000 clients de Kaseya dans le monde, en utilisant des permissions élevées accordées au serveur VSA grâce à son intégration dans l’Active Directory.

En fonction de la configuration du serveur Kaseya VSA dans l’infrastructure du client, il est fort probable que les terminaux gérés, tels que les caisses enregistreuses du groupe de supermarchés suédois Coop, n’aient pas été les seuls à être mis hors service.

Nous pouvons également nous attendre à voir d’autres perturbations dans d’autres entreprises, des pertes de revenus et même l’arrêt complet des opérations en raison de la mise hors service de leurs contrôleurs de domaine Active Directory.

Ce piratage démontre que la cyberguerre dépasse largement le cadre des entreprises et s’étend à la société dans son ensemble. Le fait de pouvoir dire "non" aux demandes de rançon et de chantage nous rend tous plus sûrs. Pour cela, il est nécessaire que les organisations prennent des dispositions adéquates en matière de cyber préparation, pour répondre aux incidents et remettre en marche rapidement leurs services d’annuaire d’entreprise après un sinistre. Ces services d’annuaire sont utilisés par plus de 90 % des organisations dans le monde.

Quelle est l’ampleur du problème auquel sont confrontées les entreprises concernées ? Après avoir corrigé les vulnérabilités initiales du logiciel Kaseya VSA, les entreprises vont avoir du mal à reprendre le contrôle de leur Active Directory et de leur activité si elles ne disposent pas d’outils pour assurer une restauration rapide de l’AD.