Os servidores de backup da Veeam estão sendo alvo de pelo menos um grupo de atores de ameaças conhecidos por trabalhar com várias gangues de ransomware de alto perfil.
Desde 28 de março, atividades maliciosas e ferramentas que ecoam ataques do FIN7 foram observadas em intrusões, menos de uma semana depois que uma vulnerabilidade de alta gravidade no software Veeam Backup and Replication (VBR) ficou disponível.
A questão de segurança, rastreada como
CVE-2023-27532
, expõe credenciais criptografadas armazenadas na configuração do VBR para usuários não autenticados na infraestrutura de backup, o que pode ser usado para acessar os hosts da infraestrutura de backup.
O fornecedor de software corrigiu o problema em 7 de março e forneceu instruções de solução alternativa.
Em 23 de março, a empresa de pentesting Horizon3 lançou um exploit para
CVE-2023-27532
, que também demonstrou como um endpoint de API não seguro poderia ser abusado para extrair credenciais em texto simples.
Um invasor que alavancasse a vulnerabilidade também poderia executar código remotamente com os mais altos privilégios.
Na época, a Huntress Labs alertou que ainda havia aproximadamente 7.500 hosts VBR expostos à internet que pareciam vulneráveis.
Pesquisadores de ameaças da empresa finlandesa de cibersegurança e privacidade WithSecure observaram em um relatório nesta semana que os ataques que eles observaram no final de março visavam servidores que executavam o software Veeam Backup and Replication que eram acessíveis pela web pública.
As táticas, técnicas e procedimentos foram semelhantes às atividades anteriormente atribuídas ao FIN7.
Com base no momento da campanha, na porta TCP aberta 9401 em servidores comprometidos e nos hosts executando uma versão vulnerável do VBR, os pesquisadores acreditam que o invasor provavelmente explorou a vulnerabilidade
CVE-2023-27532
para acesso e execução de código malicioso.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...