Falha grave em Veeam Backup
11 de Outubro de 2024

Gangues de ransomware agora exploram uma vulnerabilidade crítica de segurança que permite aos atacantes executar código remotamente (RCE) em servidores vulneráveis do Veeam Backup & Replication (VBR).

O pesquisador de segurança da Code White, Florian Hauser, descobriu que a falha de segurança, agora identificada como CVE-2024-40711, é causada por uma deserialização de dados não confiáveis que atores de ameaças não autenticados podem explorar em ataques de baixa complexidade.

A Veeam divulgou a vulnerabilidade e lançou atualizações de segurança em 4 de setembro, enquanto a watchTowr Labs publicou uma análise técnica em 9 de setembro.

No entanto, a watchTowr Labs adiou a publicação do código de exploração de conceito até 15 de setembro para dar tempo suficiente aos administradores para protegerem seus servidores.

O adiamento foi motivado pelo fato de empresas utilizarem o software VBR da Veeam como uma solução de proteção de dados e recuperação de desastres para backup, restauração e replicação de máquinas virtuais, físicas e em nuvem.

Isso torna o VBR um alvo muito popular para atores maliciosos que buscam um acesso rápido aos dados de backup de uma empresa.

Como os respondentes de incidentes da Sophos X-Ops descobriram no mês passado, a falha de RCE CVE-2024-40711 foi rapidamente aproveitada e explorada em ataques de ransomware Akira e Fog junto com credenciais previamente comprometidas para adicionar uma conta local "ponto" aos grupos de Administradores Locais e Usuários de Desktop Remoto.

"Em um caso, os atacantes implantaram o ransomware Fog.

Outro ataque no mesmo período tentou implantar o ransomware Akira.

Indicadores em todos os 4 casos se sobrepõem a ataques anteriores de ransomware Akira e Fog," disse a Sophos X-Ops.

Em cada um dos casos, os atacantes inicialmente acessaram os alvos usando gateways VPN comprometidos sem autenticação multifator ativada.

Algumas dessas VPNs estavam executando versões de software sem suporte.

No incidente do ransomware Fog, o atacante o implantou em um servidor Hyper-V desprotegido e, em seguida, usou a ferramenta rclone para exfiltrar dados.

No ano passado, em 7 de março de 2023, a Veeam também corrigiu uma vulnerabilidade de alta gravidade no software Backup & Replication ( CVE-2023-27532 ) que pode ser explorada para violar hosts de infraestrutura de backup.

Semanas depois, no final de março, a empresa finlandesa de cibersegurança e privacidade WithSecure identificou exploits do CVE-2023-27532 em ataques ligados ao grupo de ameaças FIN7, conhecido por suas ligações com as operações de ransomware Conti, REvil, Maze, Egregor e BlackBasta.

Meses depois, o mesmo exploit do Veeam VBR foi utilizado em ataques de ransomware Cuba contra infraestruturas críticas dos EUA e empresas de TI da América Latina.

A Veeam afirma que seus produtos são utilizados por mais de 550.000 clientes em todo o mundo, incluindo pelo menos 74% de todas as empresas Global 2.000.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...