Exploit lançado para falha no Veeam que permite roubo de credenciais em cleartext
24 de Março de 2023

Código de exploração cross-platform está agora disponível para uma vulnerabilidade de alto risco no serviço de backup que afeta o software Backup & Replication (VBR) da Veeam.

A falha ( CVE-2023-27532 ) afeta todas as versões do VBR e pode ser explorada por atacantes não autenticados para violar a infraestrutura de backup depois de roubar credenciais de cleartext e ganhar execução remota de código como SYSTEM.

A Veeam lançou atualizações de segurança para resolver esta vulnerabilidade para VBR V11 e V12 em 7 de março, aconselhando os clientes que usam versões mais antigas a atualizar para proteger dispositivos vulneráveis que executam versões não suportadas.

"Desenvolvemos patches para V11 e V12 para mitigar esta vulnerabilidade e recomendamos que você atualize suas instalações imediatamente", alertou a empresa.

A empresa também compartilhou uma correção temporária para administradores que não puderam implantar imediatamente os patches, que requer bloquear conexões externas à porta TCP 9401 usando o firewall do servidor de backup para remover o vetor de ataque.

A Veeam diz que seu software VBR é usado por mais de 450.000 clientes em todo o mundo, incluindo 82% das empresas Fortune 500 e 72% das Global 2.000.

Hoje, pouco mais de duas semanas após a Veeam lançar patches CVE-2023-27532 , a equipe de ataque da Horizon3 publicou uma análise técnica da causa raiz para esta vulnerabilidade de alto risco.

Eles também lançaram um código de exploração de prova de conceito (PoC) cross-platform que permite obter credenciais em cleartext do banco de dados de configuração do VBR abusando de um endpoint de API não seguro.

"Lançamos nosso POC no Github, que é construído em .NET core e capaz de rodar no Linux, tornando-o acessível a uma audiência mais ampla", disse o pesquisador de vulnerabilidades da Horizon3, James Horseman.

"É importante notar que esta vulnerabilidade deve ser levada a sério e que os patches devem ser aplicados o mais rápido possível para garantir a segurança da sua organização".

Na semana passada, pesquisadores de segurança da Huntress compartilharam uma demonstração de vídeo de seu próprio exploit PoC capaz de despejar credenciais de cleartext e alcançar execução de código arbitrário através de chamadas de API adicionais que podem ser armadas.

"Embora o despejo de credenciais não autenticadas atue como um vetor para movimento lateral ou pós-exploração, a vulnerabilidade em questão também pode ser usada para execução remota de código não autenticada, transformando a própria instância vulnerável da Veeam em um vetor para acesso inicial ou comprometimento posterior", explicou o pesquisador de segurança da Huntress Labs, John Hammond.

Dos 2 milhões de endpoints que executam seu software agente, a Huntress disse ter detectado mais de 7.500 hosts que executam o software Veeam Backup & Replication vulnerável a exploits CVE-2023-27532 .

Embora não haja relatos de atores de ameaças usando essa vulnerabilidade e de nenhuma tentativa de explorá-la, os atacantes provavelmente criarão seus próprios exploits com base no código PoC publicado pelos pesquisadores da Horizon3 para visar servidores Veeam expostos na Internet.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...