Os Managed Service Providers (MSP) desempenham um papel crítico no ecossistema das tecnologias de informação. Ao externalizar muitos dos seus requisitos diários de TI para estas empresas, as organizações mais pequenas, em particular, podem poupar custos, melhorar os níveis de serviço e concentrar mais recursos no crescimento do seu negócio. Em teoria, também reduzem o risco de segurança ao entregarem a um fornecedor mais capaz e com mais recursos. No entanto, como a campanha de ransomware com impacto nos clientes Kaseya ilustrou, os MSPs também podem ser uma fonte de ciber-riscos.
Na atual paisagem de ameaças, estes riscos estão em constante evolução. E isto coloca mais pressão sobre as organizações no momento de contratar serviços a fornecedores externos.
O que aconteceu na Kaseya?
A Kaseya é um fornecedor de software de gestão de TI cujos principais clientes são MSPs. O seu produto VSA fornece patches de software automatizados, monitorização remota e outras capacidades para que estas empresas possam gerir sem problemas a infraestrutura de TI dos seus clientes. O produto requer um acesso altamente privilegiado aos ambientes do cliente para funcionar. Isto torna-o uma escolha perfeita para atacantes que procuram um vetor de ameaça eficaz e com elevado retorno ao investimento.
Foi exatamente o que aconteceu no dia 2 de julho. Como revela a página de atualização de serviços do fornecedor, os agentes de ameaças utilizaram a plataforma para comprometerem pontuações de MSPs e dispararem uma falsa atualização aos seus clientes, contendo o ransomware REvil/Sodinokibi. Cerca de 50 a 60 MSPs e 1.500 clientes foram afetados. Como é que o fizeram? Foi noticiado que os agentes da ameaça exploraram entre uma e três vulnerabilidades zero-day no produto Kaseya VSA on-premises, vencendo a própria equipa de segurança do vendedor, que estava a trabalhar em patches para os bugs ao mesmo tempo. Estes são:
CVE-2021-30116: Uma fuga de credenciais e um bug de lógica comercial
CVE-2021-30120: Um bypass de autenticação multi-fator
CVE-2021-30119: Uma vulnerabilidade de scripting em vários locais
Isto permitiu-lhes contornar a autenticação na interface web do Kaseya VSA on-premises dos MSPs. Utilizaram então a sessão para fazer upload da sua carga e executar comandos via injeção SQL. À data da redação deste texto, um patch estava finalmente a ser enviado aos clientes on-premises, enquanto que a maioria dos MSPs SaaS já estão de volta online.
Porque é que os MSPs são arriscados?
Esta não é a primeira vez que a Kaseya é alvo de grupos de ransomware. Em 2019, cibercriminosos exploraram um plugin vulnerável para o Kaseya VSA que lhes permitiu comprometer um único cliente MSP. Com o acesso ao software ao nível do administrador, puderam executar ransomware em cada sistema de cliente que estava a gerir – como resultado, entre 1.500 e 2.000 clientes ficaram infestados com a variante de ransomware GandCrab.
Embora o GandCrab tenha sido ligado ao REvil, não há qualquer sugestão de que estes ataques tenham sido levados a cabo pelo mesmo grupo. Mas em qualquer caso, o cibercrime “underground” faz um trabalho muito melhor de partilha de inteligência e de ferramentas do que a comunidade infosec. Isto significa que se se provar que os ataques funcionam no passado, eles serão normalmente repetidos no futuro. Isto são más notícias para os MSPs e os seus clientes, uma vez que há um conjunto crescente de provas que mostram que as campanhas contra os MSPs são altamente bem sucedidas.
O cibercrime é hoje um grande negócio. E faz todo o sentido, em termos empresariais, passar tempo a pesquisar e a visar uma única organização que possa dar acesso a milhares de outros, do que visar os clientes individualmente. Afinal de contas, os MSPs têm dados de clientes e acesso privilegiado a estas organizações. De acordo com algumas estimativas, podem existir hoje em dia 20.000 MSPs deste tipo ao serviço de múltiplos clientes só na América do Norte. E nem todos eles são tão seguros como deveriam ser. Este é um alvo significativo para os cibercriminosos.
Como gerir o risco MSP
A dinâmica do mercado deveria significar que os MSPs que falham com os seus clientes em matéria de segurança acabam por dar lugar àqueles com uma postura mais forte de gestão do ciber-risco. Não há escassez de ferramentas no mercado para ajudar estes fornecedores a diferenciarem-se em matéria de segurança. No entanto, isto só funciona se os clientes estiverem suficientemente bem informados.
Para tal, o WeLiveSecurity propôs algumas verificações e perguntas básicas a considerar antes de escolher o próximo MSP. Ela não protegerão a organização a 100% de um incidente de segurança envolvendo um MSP. Mas ajudarão a reduzir o risco. Leia o artigo completo aqui.
