Quand les fournisseurs de services managés sont attaqués au travers des outils qu’ils utilisent, leurs entreprises clientes sont particulièrement démunies puisqu’elles leur font confiance pour les préserver des menaces. Ce scénario catastrophe à effet domino est au cœur de l’attaque ciblant Kaseya, un fournisseur de solutions pour MSP. Une attaque spectaculaire dont il faut tirer les leçons.

Après l’attaque SolarWinds fin 2020, une nouvelle attaque sur la supply chain de l’IT fait couler beaucoup d’encre et agit comme une piqure de rappel sur les risques actuels et les bonnes pratiques à adopter. Le 3 juillet dernier, la société Kaseya dont les outils sont utilisés par de nombreux fournisseurs de services (MSP) voyait avec effroi ses propres serveurs – préalablement compromis – lancer une attaque affectant plus de 1 500 entreprises et clientes de fournisseurs clients du logiciel Kaseya VSA. L’attaque visait à diffuser et installer au cœur de ces entreprises le ransomware Revil.
Autrement dit, les serveurs du logiciel d’automatisation en mode SaaS Kaseya VSA ont été compromis par le truchement de vulnérabilités de type Zero Day et sont devenus un système de livraison de menaces au service de cybercriminels.

Cette attaque doit tirer le signal d’alarme chez les RSSI et les DSI. Trois leçons sont à retenir et doivent conduire à un changement de posture :

1/ Les cybercriminels se focalisent sur la supply chain logicielle des entreprises

Une tendance qui doit inquiéter DSI, RSSI et autres responsables. Elle doit inviter à définir ou réorganiser les processus de vérification des logiciels tiers.
Quand on parle des Supply Chains d’une entreprise, on ne pense pas forcément à la « Supply Chain » de l’IT. Or c’est bien celle-ci qui est ciblée dans le cadre des deux attaques SolarWinds et Kaseya !

2/ Les MSP (Managed Services Providers) sont une cible de prédilection

Notamment pour leur sécurité mais également pour la gestion de leurs ressources ou de leur parc de PC, les entreprises font de plus en plus confiance aux services managés. Les fournisseurs de tels services sont donc de plus en plus ciblés par les cybercriminels car ils peuvent potentiellement servir de porte d’entrée unique sur les systèmes d’information de plusieurs entreprises.
La particularité de l’attaque Kaseya est qu’elle ne porte pas directement sur un fournisseur de services managés mais sur un éditeur fournissant des outils aux fournisseurs MSP.

3/ L’automatisation est aussi une arme pour les cyberattaquants

Les entreprises font de plus en plus appel à l’automatisation pour accélérer leurs processus, limiter les erreurs humaines et alléger leurs collaborateurs des tâches les plus répétitives.
Mais, les cybercriminels aussi en exploitent tout le potentiel notamment pour permettre un déclenchement massif de l’attaque et la rendre la plus rapide et la plus efficace possible.
Ainsi dans le cadre de l’attaque des serveurs Kaseya, tout a été planifié pour que les serveurs compromis « se réveillent » tous simultanément à 16H30 (UTC) et exécutent un script automatisé visant à éteindre les contrôles de sécurité, puis à répandre une charge malveillante à tous les systèmes supervisés par les serveurs Kaseya compromis. L’attaque en tout a duré moins de 2 heures et a envoyé un ransomware sur les dispositifs de plus de 1.500 entreprises clientes de Kaseya.