Κίνδυνος για το Veeam: Τα Akira και Fog ransomware εκμεταλλεύονται το κρίσιμο ελάττωμα RCE

Ο ερευνητής ασφαλείας του Code White, Florian Hauser, διαπίστωσε ότι το ελάττωμα ασφαλείας, το οποίο τώρα εντοπίζεται ως CVE-2024-40711, προκαλείται από μια αδυναμία μη αξιόπιστων δεδομένων που μπορούν να εκμεταλλευτούν οι μη επιβεβαιωμένοι παράγοντες απειλών σε επιθέσεις χαμηλής πολυπλοκότητας.

Η Veeam αποκάλυψε την ευπάθεια και κυκλοφόρησε ενημερώσεις ασφαλείας στις 4 Σεπτεμβρίου, ενώ η WatchTowr Labs δημοσίευσε μια τεχνική ανάλυση στις 9 Σεπτεμβρίου. Ωστόσο, η WatchTowr Labs καθυστέρησε τη δημοσίευση κώδικας εκμετάλλευσης απόδειξης ιδέας έως τις 15 Σεπτεμβρίου για να δώσουν στους διαχειριστές αρκετό χρόνο για να ασφαλίσουν τους διακομιστές τους.

Η καθυστέρηση προκλήθηκε από επιχειρήσεις που χρησιμοποιούν το λογισμικό VBR της Veeam ως λύση προστασίας δεδομένων και ανάκτησης καταστροφών για τη δημιουργία αντιγράφων ασφαλείας, την επαναφορά και την αναπαραγωγή εικονικών, φυσικών μηχανών και μηχανών cloud.

Αυτό το καθιστά πολύ δημοφιλή στόχο για κακόβουλους παράγοντες που αναζητούν γρήγορη πρόσβαση στα εφεδρικά δεδομένα μιας εταιρείας.

Όπως διαπίστωσαν οι ανταποκριτές περιστατικών του Sophos X-Ops τον τελευταίο μήνα, το ελάττωμα CVE-2024-40711 RCE εντοπίστηκε γρήγορα και αξιοποιήθηκε σε επιθέσεις ransomware Akira και Fog μαζί με διαπιστευτήρια που είχαν παραβιαστεί στο παρελθόν για να προστεθεί ένας τοπικός λογαριασμός “σημείου” στους τοπικούς διαχειριστές και ομάδες χρηστών απομακρυσμένης επιφάνειας εργασίας.

“Σε μια περίπτωση, οι επιτιθέμενοι έριξαν το Fog ransomware. Μια άλλη επίθεση στο ίδιο χρονικό πλαίσιο επιχείρησε να αναπτύξει το Akira ransomware. Οι δείκτες και στις 4 περιπτώσεις επικαλύπτονται με προηγούμενες επιθέσεις ransomware Akira και Fog”, Sophos X-Ops είπε.

“Σε κάθε μία από τις περιπτώσεις, οι εισβολείς είχαν αρχικά πρόσβαση σε στόχους χρησιμοποιώντας παραβιασμένες πύλες VPN χωρίς ενεργοποιημένο τον έλεγχο ταυτότητας πολλαπλών παραγόντων. Ορισμένα από αυτά τα VPN εκτελούσαν μη υποστηριζόμενες εκδόσεις λογισμικού.

“Στο περιστατικό του ransomware του Fog, ο εισβολέας το ανέπτυξε σε έναν μη προστατευμένο διακομιστή Hyper-V και, στη συνέχεια, χρησιμοποίησε το βοηθητικό πρόγραμμα rclone για την εξαγωγή δεδομένων.”

Δεν είναι το πρώτο ελάττωμα του Veeam που στοχεύεται σε επιθέσεις ransomware

Εβδομάδες αργότερα, στα τέλη Μαρτίου, η φινλανδική εταιρεία κυβερνοασφάλειας και προστασίας απορρήτου WithSecure εντόπισε εκμεταλλεύσεις CVE-2023-27532 που αναπτύσσονται σε επιθέσεις που συνδέονται με την ομάδα απειλών FIN7 με οικονομικά κίνητρα, γνωστή για τους δεσμούς της με τις επιχειρήσεις λύτρων Conti, REvil, Maze, Egregor και BlackBasta. .

Μήνες αργότερα, η ίδια εκμετάλλευση του Veeam VBR χρησιμοποιήθηκε σε επιθέσεις ransomware στην Κούβα εναντίον κρίσιμων υποδομών των ΗΠΑ και εταιρειών πληροφορικής της Λατινικής Αμερικής.

Η Veeam λέει ότι τα προϊόντα της χρησιμοποιούνται από πάνω από 550.000 πελάτες παγκοσμίως, συμπεριλαμβανομένου τουλάχιστον του 74% όλων των εταιρειών του Παγκόσμιου 2.000.