Anderhalve week nadat gekende lekken in zijn software misbruikt werden voor een enorme ransomware-aanval, brengt Kaseya een patch uit die de kwetsbaarheden verhelpt.

Klanten van de Kaseya Virtual System Administrator (VSA) kunnen opnieuw aan de slag met hun software. Het Amerikaanse IT-bedrijf lanceert een patch voor de drie kwetsbaarheden die hackersgroep REvil eerder misbruikte om bijna 1.500 bedrijven met ransomware te infecteren. Ook het SaaS-aanbod van het bedrijf gaat opnieuw online.

Kaseya wilde zijn software oorspronkelijk vorige week al patchen, maar haalde die zelf opgelegde deadline niet. Ook de herziene timing, waarbij de diensten afgelopen zondag opnieuw beschikbaar zouden komen, haalde het bedrijf niet. In afwachting van de patch moesten alle Kaseya VSA-klanten on-premises hun servers offline houden en was ook het SaaS-aanbod onbeschikbaar.

Zero days, maar niet onbekend

Hoewel de gedichte lekken in kwestie in theorie zero day-bugs zijn, was Kaseya al sinds april op de hoogte van het bestaan ervan. Een Nederlands beveiligingsbedrijf had Kaseya gewaarschuwd voor een veelvoud aan bugs, waarvan er slechts enkele werden platgetrapt voor REvil zijn vernietigende aanval kon uitvoeren. Dat impliceert dat Kaseya al meer dan twee maanden op de hoogte was van kritieke kwetsbaarheden, maar in die periode geen patch kon ontwikkelen, geen mitigatierichtlijnen uitwerkte en geen waarschuwingen naar klanten stuurde.

Kaseya zelf is intussen kop van jut. Verschillende ex-werknemers getuigden pas nog bij Bloomberg over de veiligheidscultuur, die in hun ogen erbarmelijk is. De code van het VSA-product zou gedateerd en onveilig zijn, wat een Zweeds beveiligingsbedrijf intussen bevestigde. De IT-beheersspecialist wordt ervan beticht om consequent commercieel gewin boven beveiliging te plaatsen.