Gangues de ransomware agora exploram uma vulnerabilidade crítica de segurança que permite aos atacantes executar código remotamente (RCE) em servidores vulneráveis do Veeam Backup & Replication (VBR).
O pesquisador de segurança da Code White, Florian Hauser, descobriu que a falha de segurança, agora identificada como CVE-2024-40711, é causada por uma deserialização de dados não confiáveis que atores de ameaças não autenticados podem explorar em ataques de baixa complexidade.
A Veeam divulgou a vulnerabilidade e lançou atualizações de segurança em 4 de setembro, enquanto a watchTowr Labs publicou uma análise técnica em 9 de setembro.
No entanto, a watchTowr Labs adiou a publicação do código de exploração de conceito até 15 de setembro para dar tempo suficiente aos administradores para protegerem seus servidores.
O adiamento foi motivado pelo fato de empresas utilizarem o software VBR da Veeam como uma solução de proteção de dados e recuperação de desastres para backup, restauração e replicação de máquinas virtuais, físicas e em nuvem.
Isso torna o VBR um alvo muito popular para atores maliciosos que buscam um acesso rápido aos dados de backup de uma empresa.
Como os respondentes de incidentes da Sophos X-Ops descobriram no mês passado, a falha de RCE CVE-2024-40711 foi rapidamente aproveitada e explorada em ataques de ransomware Akira e Fog junto com credenciais previamente comprometidas para adicionar uma conta local "ponto" aos grupos de Administradores Locais e Usuários de Desktop Remoto.
"Em um caso, os atacantes implantaram o ransomware Fog.
Outro ataque no mesmo período tentou implantar o ransomware Akira.
Indicadores em todos os 4 casos se sobrepõem a ataques anteriores de ransomware Akira e Fog," disse a Sophos X-Ops.
Em cada um dos casos, os atacantes inicialmente acessaram os alvos usando gateways VPN comprometidos sem autenticação multifator ativada.
Algumas dessas VPNs estavam executando versões de software sem suporte.
No incidente do ransomware Fog, o atacante o implantou em um servidor Hyper-V desprotegido e, em seguida, usou a ferramenta rclone para exfiltrar dados.
No ano passado, em 7 de março de 2023, a Veeam também corrigiu uma vulnerabilidade de alta gravidade no software Backup & Replication (
CVE-2023-27532
) que pode ser explorada para violar hosts de infraestrutura de backup.
Semanas depois, no final de março, a empresa finlandesa de cibersegurança e privacidade WithSecure identificou exploits do
CVE-2023-27532
em ataques ligados ao grupo de ameaças FIN7, conhecido por suas ligações com as operações de ransomware Conti, REvil, Maze, Egregor e BlackBasta.
Meses depois, o mesmo exploit do Veeam VBR foi utilizado em ataques de ransomware Cuba contra infraestruturas críticas dos EUA e empresas de TI da América Latina.
A Veeam afirma que seus produtos são utilizados por mais de 550.000 clientes em todo o mundo, incluindo pelo menos 74% de todas as empresas Global 2.000.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...