Det börjar att bli ett lite alltför vanligt mönster – bolaget som inte lyssnar på sina egna anställdas varningar, som inte lyssnar på externa konsulters varningar och som reagerar alldeles för sent. Kaseya varnades för buggar redan i april i år, både internt och extern men gjorde ingenting.

Bloomberg har talat med före detta anställda varav en sparkades sedan han skrivit ett 40 sidor långt PM med varningar om buggar i Kaseyas mjukvaror. Flera andra anställda sparkade sedan de haft invändningar mot att Kaseya flyttade delar av verksamheten till Belarus.

Eko

Så sent som i april i år så varnades Kaseya för att det fanns allvarliga och kritiska säkerhetshål i deras system. Varningar som var ett eko av liknande varningar som Kaseya fått ända sedan 2017. Gammal kod, bristfällig kryptering och även buggar av en typ som ett bolag med Kaseyas resurser inte ska råka ut för exempelvis det som kallas för en ”SQL Injection”. Det innebär, enkelt förklarat, att skadlig kod kan skjutas in i befintlig kod och det är en typ av buggar som helt enkelt inte ska slinka igenom kvalitetskontrollen, speciellt inte som att det finns verktyg som kan användas för att upptäcka och identifiera ”SQL injection” problem.

Åtminstone en av de allvarliga buggar som tros ha exploateras av REvil vid attacken som bland annat slog ut 1500 av Kaseyas kunder, däribland över 800+ CLP-butiken kassasystem var av just den typen.

Buggfixar

Först igår började Kaseya att distribuera de nödvändiga buggfixar som krävs för att täppa till de nu aktuella säkerhetshålen, buggarna.

• CVE-2021-30116 – Credentials leak and business logic flaw
• CVE-2021-30119 – Cross-site scripting vulnerability
• CVE-2021-30120 – Two-factor authentication bypass

Och

• CVE-2021-30117 – SQL injection vulnerability (Fixed in VSA 9.5.6)
• CVE-2021-30118 – Remote code execution vulnerability (Fixed in VSA 9.5.5)
• CVE-2021-30121 – Local file inclusion vulnerability (Fixed in VSA 9.5.6)
• CVE-2021-30201 – XML external entity vulnerability (Fixed in VSA 9.5.6)

Av de sju buggarna är åtminstone fem att betrakta som synnerligen allvarliga och det är anmärkningsvärt att ett företag av Kaseyas storlek, resurser och ansvar visat sig vara sårbar för den här typen av buggar.

On several occasions from 2017 to 2020, employees at Kaseya’s offices in the U.S. said they flagged wide-ranging cybersecurity concerns to company leaders. But those issues often weren’t fully addressed, according to the workers, who were employed in software engineering and development at Kaseya and asked not to be identified because they had signed non-disclosure agreements or feared professional retribution.

Bloomberg

Gammal kod

Förutom gammal kod, föräldrar kryptering så har Kaseya även underlåtit att uppdatera sin underliggande system – sina servrar vilket betyder att det fanns mer än en väg in i Kaseyas system.

Two former employees said they warned executives about vulnerabilities in its antiquated Virtual System Administrator software—the system that hackers hijacked to launch this latest attack—that was supposedly so riddled with problems that they wanted it replaced. Kaseya’s customers, companies known as managed service providers or MSPs, provide remote IT services to hundreds of smaller businesses and use VSA servers to manage and send software updates to these clients.

Gizmodo

Börja nedräkningen nu tills den första stämningen landar i amerikansk domstol.