Les fournisseurs de services gérés (ou MSP, c’est-à-dire Managed Services Provider) jouent un rôle essentiel dans l'écosystème informatique. En leur confiant une grande partie de leurs besoins informatiques quotidiens, les petites entreprises, en particulier, peuvent économiser des coûts, améliorer les niveaux de service et consacrer davantage de ressources à la croissance de l'entreprise. En théorie, elles peuvent également réduire le risque de sécurité en confiant la tâche à un fournisseur plus compétent et disposant de plus de ressources. Cependant, comme l'a montré la campagne de ransomware qui a touché les clients de Kaseya, les MSP peuvent également être une source de cyberrisque.

Dans le climat actuel de volatilité des menaces, ces risques sont en constante évolution. Les organisations doivent donc s'assurer qu'elles posent les bonnes questions de diligence raisonnable aux fournisseurs potentiels avant de signer des contrats.

Que s'est-il passé avec Kaseya?

Kaseya est un fournisseur de logiciels de gestion informatique dont les principaux clients sont des MSP. Son produit VSA permet d'automatiser l'application des correctifs logiciels, la surveillance à distance et d'autres fonctionnalités afin que ces entreprises puissent gérer de manière transparente l'infrastructure informatique de leurs clients. De manière similaire à SolarWinds  Orion, le produit nécessite un accès hautement privilégié aux environnements des clients pour fonctionner. Cela en fait un choix parfait pour les attaquants à la recherche d'un vecteur de menace efficace et à fort retour sur investissement.

C'est exactement ce qui s'est passé le 2 juillet dernier. Tel qu’indiqué sur la page de mise à jour du service du fournisseur, les acteurs de la menace ont utilisé la plateforme pour compromettre un grand nombre de MSP et envoyer une fausse mise à jour à leurs clients, contenant le ransomware REvil/Sodinokibi. Environ 50 à 60 MSP ont été touchés, et près de 1 500 clients en aval. Comment ont-ils procédé? Il a été rapporté que les acteurs de la menace ont exploité entre une et trois vulnérabilités zéro-day pour le produit Kaseya VSA sur site, battant l'équipe de sécurité du fournisseur, qui travaillait sur des correctifs pour les bogues au même moment. Il s'agit de :

  • CVE-2021-30116: Une fuite d'informations d'identification et un bogue de logique commerciale
  • CVE-2021-30120 : Contournement de l'authentification multifactorielle
  • CVE-2021-30119: une vulnérabilité de script intersite.

Cela leur a permis de contourner l'authentification dans l'interface web du VSA Kaseya sur site des MSP. Ils ont ensuite utilisé la session pour télécharger leur charge utile et exécuter des commandes par injection SQL. Au moment de la rédaction de cet article, un correctif a finalement été déployé pour les clients sur site, tandis que la plupart des MSP en mode SaaS sont déjà de retour en ligne.

Pourquoi les MSP (et leurs clients) sont-ils à risque?

Ce n'est pas la première fois que Kaseya est visé par des groupes de ransomware. En 2019, les acteurs malveillants ont exploité un plugin vulnérable pour Kaseya VSA qui leur a permis de compromettre un seul client MSP. Avec un accès de niveau administrateur au logiciel, ils ont pu exécuter un ransomware sur chaque système client qu'il gérait - ce qui a conduit à ce qu'entre 1 500 et 2 000 clients soient infectés par la variante de ransomware Gandcrab.

Bien que Gandcrab ait été associé à REvil, rien ne permet de penser que ces attaques ont été perpétrées par le même groupe. Quoi qu'il en soit, le milieu de la cybercriminalité partage bien mieux les renseignements et les outils que la communauté de l'informatique. Cela signifie que si les attaques ont fait leurs preuves dans le passé, elles seront généralement répétées à l'avenir. C'est une mauvaise nouvelle pour les MSP et leurs clients, car de plus en plus de preuves historiques montrent que les campagnes contre les MSP peuvent être très efficaces.

Certaines des campagnes les plus médiatisées dans le passé ont été menées par des agents soutenus par l'État. Parmi celles-ci, citons l'opération Cloud Hopper, un audacieux plan pluriannuel attribué à APT10 qui a touché « un réseau sans précédent de victimes à travers le globe ». La différence aujourd'hui est que ce sont désormais des cybercriminels motivés financièrement qui ciblent les MSP. Selon un récent rapport, 73 % des MSP ont signalé au moins un incident de sécurité au cours de l'année écoulée et 60 % d'entre eux étaient liés à un rançongiciel.

La cybercriminalité est aujourd'hui une affaire importante. Et il est tout à fait logique, d'un point de vue commercial, de passer du temps à rechercher et à cibler une seule organisation qui peut donner accès à des milliers d'autres, plutôt que de cibler individuellement ces clients en aval. Après tout, les MSP disposent des données de leurs clients et d'un accès privilégié à ces organisations. Certaines estimations suggèrent qu’on pourrait compter aujourd’hui jusqu'à 20 000 MSP desservant plusieurs clients et ce, rien qu'en Amérique du Nord. Et tous ne sont pas aussi sécurisés qu'ils ne le devraient. C'est une cible importante pour les acteurs de la menace.

Comment gérer les risques liés aux MSP

La dynamique du marché devrait faire en sorte que les MSP qui déçoivent systématiquement leurs clients en matière de sécurité finissent par céder la place à ceux qui ont une position plus solide en matière de gestion des cyberrisques. Il ne manque pas d'outils sur le marché pour aider ces fournisseurs à se différencier en matière de sécurité. Toutefois, cela ne fonctionne que si les clients sont suffisamment bien informés pour voter avec leurs pieds.

À cette fin, voici quelques vérifications et questions de base à prendre en compte avant de choisir votre prochain MSP :

  • Quel est leur programme de gestion des correctifs et des vulnérabilités?
  • Avec quels partenaires logiciels travaillent-ils et quelle est leur réputation en matière de sécurité et d'assurance qualité?
  • Effectuez des vérifications supplémentaires sur tout logiciel MSP fonctionnant avec des privilèges élevés.
  • Exécutent-t-ils les huit contrôles essentiels pour les MSP? (Il s'agit de la liste blanche des applications, des correctifs et du renforcement, de la restriction des privilèges administratifs, de l'authentification multifactorielle, des correctifs du système d'exploitation, des sauvegardes quotidiennes et de l'ajustement des paramètres des macros Office).
  • Disposent-ils d'une solide protection contre les logiciels malveillants sur les serveurs, les terminaux, les réseaux, la messagerie, les systèmes en nuage, etc.
  • Appliquent-ils une politique d'accès au moindre privilège et une segmentation du réseau pour minimiser la surface d'attaque?
  • Le personnel est-il régulièrement formé et mis à jour en matière de sensibilisation au hameçonnage?
  • Procèdent-ils à des audits ou des examens de sécurité complets de façon régulière?
  • Utilisent-t-ils la détection et la réponse aux menaces étendues (XDR) pour une protection proactive?
  • Disposent-ils d'un plan de réponse aux incidents bien rodé en cas de scénario catastrophe?
  • Quelles normes, certifications et cadres industriels suivent-ils?

Les contrôles de diligence raisonnable de ce type ne protégeront pas votre entreprise à 100 % contre un incident de sécurité impliquant un MSP. Mais ils contribueront à réduire le risque d'un tel incident. Et aujourd'hui, c'est à peu près tout ce que vous pouvez faire.