Managed Service Provider (MSPs) spielen eine wichtige Rolle im IT-Ökosystem. Denn vor allem kleinere Unternehmen können durch die Auslagerung ihrer alltäglichen IT-Aufgaben an die Dienstleister Kosten sparen, ihr Servicelevel verbessern und so mehr Ressourcen auf ihr Geschäftswachstum konzentrieren. In der Theorie reduzieren sie so auch das Sicherheitsrisiko, wenn ein leistungsfähiger und gut ausgestatteter Anbieter IT-Sicherheitsaufgaben übernimmt. Die aktuelle Ransomware-Kampagne auf Kunden von Kaseya, zeigt jedoch, dass auch MSPs Cybersicherheitsrisiken bergen.
In der sich ständig verändernden Bedrohungslandschaft von heute entwickeln und verändern sich diese Risiken ständig. Dies erschwert Unternehmen MSP-Anbieter auszuwählen und ihren Sorgfaltspflichten nachzukommen, bevor sie Verträge unterzeichnen.
Was ist bei Kaseya passiert?
Kaseya ist ein Anbieter von IT-Management-Software, dessen Hauptkunden MSPs sind. Ihre VSA-Software ermöglicht automatisiertes Software-Patching, Fernüberwachung und andere Funktionen, mittels derer MSPs die IT-Infrastruktur ihrer Kunden nahtlos verwalten können. Ähnlich wie SolarWinds Orion erfordert das Produkt für den Betrieb einen hochprivilegierten Zugriff auf die Kundenumgebungen. Dies macht es zur perfekten Wahl für alle Angreifer, die mit einem Schlag eine große Wirkung erzielen wollen.
Genau das geschah am 2. Juli. Wie auf der Service-Update-Seite des Anbieters beschrieben, gelang es Bedrohungsakteuren über die Plattform zahlreiche MSPs zu kompromittieren und bei deren Kunden ein gefälschtes Update mit der Ransomware REvil/Sodinokibi auszuliefern. Betroffen waren etwa 50-60 MSPs und nachgelagert etwa 1.500 Kunden. Wie haben sie das geschafft? Wie berichtet wurde, gelang es den Angreifern ein bis drei Zero-Day-Lücken in Kaseya‘s On-premises-Lösung VSA auszunutzen. Sie kamen damit dem Sicherheitsteam des Herstellers nur knapp zuvor, das schon an Patches für die Schwachstellen arbeitete. Diese sind:
- CVE-2021-30116: Ein Credential-Leak und ein Fehler in der Geschäftslogik
- CVE-2021-30120: Eine Umgehung der Multi-Faktor-Authentifizierung
- CVE-2021-30119: Eine Cross-Site-Scripting-Schwachstelle
Dadurch konnten sie die Authentifizierung in der Weboberfläche der lokalen Kaseya VSA-Server der MSPs umgehen. Anschließend nutzten sie die Sitzung, um ihre Malware hochzuladen und Befehle per SQL-Injection auszuführen. Nun, während dieser Artikel entsteht, wird endlich ein Patch für On-premises Kunden ausgerollt. MSPs, die die SaaS-Lösung von Kaseya nutzen sind bereits schon wieder online.
Warum sind MSPs riskant?
Es ist nicht das erste Mal, dass Kaseya von Ransomware-Gruppen angegriffen wird. Im Jahr 2019 nutzten Angreifer eine Schwachstelle in einem Plugin für Kaseya VSA aus. In der Folge konnten sie einen einzelnen MSP-Kunden kompromittieren. Durch den Administratorzugriff auf die Software konnten sie Ransomware auf jedem von ihr verwalteten Kundensystem ausführen, was dazu führte, dass zwischen 1.500 und 2.000 Kunden mit der Gandcrab-Ransomware infiziert wurden.
Obwohl Gandcrab in der Vergangenheit mit REvil in Verbindung gebracht wurde, gibt es keinen Hinweis darauf, dass diese Angriffe von derselben Gruppe verübt wurden. Tatsache ist jedoch, dass unter Cyberkriminellen ein weitaus besserer Austausch von Informationen und Werkzeugen stattfindet als in der Cybersicherheitsbranche. Das heißt, dass Angriffe, die sich in der Vergangenheit bewährt haben, wahrscheinlich auch in der Zukunft wiederholt werden. Für MSPs und ihre Kunden ist das natürlich eine schlechte Nachricht, denn es gibt zahlreiche Beispiele dafür, dass Kampagnen gegen MSPs sehr erfolgreich sein können.
Einige der bekanntesten Kampagnen gingen in der Vergangenheit von staatlich-geförderten Akteuren aus. Dazu gehört Operation Cloud Hopper, eine kühne mehrjährige Aktion, die APT10 zugeschrieben wird und von der „ein beispielloses Netz globaler Opfer“ betroffen waren. Im Unterschied dazu sind die Akteure heute finanziell motivierte Cyberkriminelle, die es auf MSPs abgesehen haben. Laut einem aktuellen Bericht haben 73 Prozent der MSPs im vergangenen Jahr mindestens einen Sicherheitsvorfall gemeldet, und 60 Prozent davon standen im Zusammenhang mit Ransomware.
Cyberkriminalität ist heutzutage ein großes Geschäft. Daher macht es für die Kriminellen auch absolut Sinn, Zeit und Ressourcen für ein einzelnes Unternehmen aufzubringen, das potenziell den Zugang zu tausenden nachgelagerten Kunden bietet, statt diese einzeln anzugreifen. Auf die bei den MSPs existierenden Kundendaten und die privilegierten Zugriffsrechte auf Unternehmensnetzwerke haben die Angreifer es abgesehen. Schätzungen zufolge gibt es allein in Nordamerika bis zu 20.000 solcher MSPs, die mehrere Kunden betreuen. Und nicht alle sind so sicher, wie sie sein sollten, was sie noch mehr zum Ziel von Bedrohungsakteuren macht.
So managen Sie das MSP-Risiko
MSPs die ihre Kunden in Punkto Sicherheit immer wieder im Stich lassen, werden durch Anbieter ersetzt werden, die Cybersicherheitsrisiken besser im Griff haben. An Cybersicherheitslösungen, die den MSPs dabei helfen, gibt es keinen Mangel. Dies funktioniert jedoch nur, wenn die Kunden gut informiert genug sind, um mit den Füßen abzustimmen.
Zu diesem Zweck sind hier einige grundlegende Sorgfaltspflichten und Fragen, die man berücksichtigen sollte, bevor man sich für einen Managed Service Provider entscheidet:
- Wie gehen sie mit Patches und Schwachstellen um?
- Mit welchen Softwarepartnern arbeiten sie zusammen und wie ist deren Ruf bei Sicherheit/Qualitätssicherung?
- Führen sie zusätzliche Überprüfungen bei jeder MSP-Software durch, die mit hohen Privilegien arbeitet?
- Führen sie die acht wesentlichen Kontrollen für MSPs aus? (Diese sind: App-Whitelisting, Patchen und Härten, Einschränkung von Administratorrechten, Multi-Faktor-Authentifizierung, Betriebssystem-Updates, tägliche Backups und Anpassen der Office-Makroeinstellungen)
- Verfügen sie über einen robusten Anti-Malware-Schutz für Server, Endpunkte, Netzwerke, E-Mail, Cloud-Systeme usw.?
- Verfolgen sie eine Zugriffsrichtlinie der geringsten Rechte und eine Netzwerksegmentierung, um die Angriffsfläche zu minimieren?
- Werden die Mitarbeiter regelmäßig in Phishing-Awareness geschult und aktualisiert?
- Führen sie regelmäßige und umfassende Sicherheitsaudits/-überprüfungen durch?
- Führen sie Extended Threat Detection and Response (XDR) für proaktiven Schutz aus?
- Verfügen sie selbst im schlimmsten Fall über einen gut eingeübten Incident-Response-Plan?
- Welche Industriestandards, Zertifizierungen und Frameworks halten sie ein?
Durch Due-Diligence-Prüfungen wie diese wird Ihr Unternehmen nicht zu 100 Prozent vor einem Sicherheitsvorfall geschützt sein, an dem ein MSP beteiligt ist. Aber sie werden dazu beitragen, das Risiko eines solchen Vorfalls zu verringern. Und das ist es, worum es heute im Wesentlichen geht.