Hackers estão mirando servidores vulneráveis de backup Veeam expostos na internet
2 de Maio de 2023

Os servidores de backup da Veeam estão sendo alvo de pelo menos um grupo de atores de ameaças conhecidos por trabalhar com várias gangues de ransomware de alto perfil.

Desde 28 de março, atividades maliciosas e ferramentas que ecoam ataques do FIN7 foram observadas em intrusões, menos de uma semana depois que uma vulnerabilidade de alta gravidade no software Veeam Backup and Replication (VBR) ficou disponível.

A questão de segurança, rastreada como CVE-2023-27532 , expõe credenciais criptografadas armazenadas na configuração do VBR para usuários não autenticados na infraestrutura de backup, o que pode ser usado para acessar os hosts da infraestrutura de backup.

O fornecedor de software corrigiu o problema em 7 de março e forneceu instruções de solução alternativa.

Em 23 de março, a empresa de pentesting Horizon3 lançou um exploit para CVE-2023-27532 , que também demonstrou como um endpoint de API não seguro poderia ser abusado para extrair credenciais em texto simples.

Um invasor que alavancasse a vulnerabilidade também poderia executar código remotamente com os mais altos privilégios.

Na época, a Huntress Labs alertou que ainda havia aproximadamente 7.500 hosts VBR expostos à internet que pareciam vulneráveis.

Pesquisadores de ameaças da empresa finlandesa de cibersegurança e privacidade WithSecure observaram em um relatório nesta semana que os ataques que eles observaram no final de março visavam servidores que executavam o software Veeam Backup and Replication que eram acessíveis pela web pública.

As táticas, técnicas e procedimentos foram semelhantes às atividades anteriormente atribuídas ao FIN7.

Com base no momento da campanha, na porta TCP aberta 9401 em servidores comprometidos e nos hosts executando uma versão vulnerável do VBR, os pesquisadores acreditam que o invasor provavelmente explorou a vulnerabilidade CVE-2023-27532 para acesso e execução de código malicioso.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...