Opnieuw zijn de ogen van beveiligingsexperts gericht op Kaseya vanwege een kwetsbaarheid in de IT-beveiliging. Nu gaat het om een 6 jaar oud lek in een klantenportal.
Cybercriminelen hebben onlangs REvil-ransomware verspreid onder ongeveer 1500 organisaties die de software Kaseya VSA gebruiken. Daarvoor werd een kwetsbaarheid gebruikt die al drie maanden bekend was bij Kaseya.
Maar er blijkt meer mis te zijn. Ook de portal voor facturatie en customer support blijkt al jaren een ernstige kwetsbaarheid te bevatten, zo heeft security-bedrijf Mandiant ontdekt aldus beveiligingsonderzoeker Brian Krebs.
De site (portal.kaseya.net) had in ieder geval tot afgelopen zaterdag een kwetsbaarheid die bekend staat onder CVE-2015-2862. Zoals het nummer aangeeft gaat het hier niet om een zero-day want de zogenoemde ‘directory traversal’ kwetsbaarheid is al 6 jaar bekend. Dankzij die kwetsbaarheid in de portal waren onbevoegden in staat om elk bestand op de server te lezen via hun webbrowser.
Zo bleek Mandiant tot voor kort nog in staat om van de webserver het bestand ‘web.config’ te downloaden waarin gevoelige informatie staat zoals gebruikersnamen, wachtwoorden en locaties van de belangrijkste databases.
In een reactie aan Brian Krebs laat Kaseya weten dat de klantenportal geen direct toegang had tot endpoints van klanten. De portal is onlangs opgeheven en zal niet langer door Kaseya worden gebruikt.
foto: archive.org
