Kritičnu ranjivost u Veeam Backup & Replication softveru, identifikovanu kao CVE-2024-40711, hakeri iskorištavaju za postavljanje ransomware-a.
Ranjivost, koja omogućava neautorizovano daljinsko izvršavanje koda (RCE), prijavio je Florian Hauser sa CODE WHITE Gmbh, a pratili su je Sophos X-Ops MDR i Incident Response .
Tokom prošlog mjeseca, Sophos je primijetio niz napada koji su koristili narušene kredencijale i ranjivost CVE-2024-40711 za kreiranje neovlaštenih naloga i pokušaj implementacije ransomware-a.
U jednom slučaju, napadači su uspješno bacili Fog ransomware na nezaštićeni Hyper-V server, dok je drugi napad pokušao implementirati Akira ransomware. Indikatori u sva četiri slučaja se preklapaju s ranijim Akira i Fog ransomware napadima.
Napadači su prvobitno dobili pristup ciljevima koristeći narušene VPN gatewaye bez omogućene višefaktorske autentifikacije, od kojih su neki pokretali nepodržane verzije softvera.
Zatim su iskoristili Veeam ranjivost tako što su pokrenuli Veeam.Backup.MountService.exe na URI /okidaču na portu 8000, koji je pokrenuo net.exe i kreirao lokalni nalog pod nazivom “point”. Ovaj nalog je dodat lokalnim administratorima i korisničkim grupama udaljene radne površine , dajući napadačima privilegovani pristup sistemu.
U incidentu sa Fog ransomware-om, napadači ne samo da su implementirali ransomware, već su koristili i uslužni program rclone da eksfiltriraju osjetljive podatke iz narušenog sistema. Sophos zaštita krajnjih tačaka i MDR spriječili su implementaciju ransomware-a u drugim slučajevima.
Ovi incidenti naglašavaju važnost zakrpe poznatih ranjivosti, ažuriranja ili zamjene VPN-ova koji nisu podržani i korištenja višefaktorske autentifikacije za kontrolu pristupa na daljinu.
Veeam je objavio ažuriranje (VBR verzija 12.2.0.334) koje zakrpa CVE-2024-40711 ranjivost, a administratori se snažno pozivaju da odmah primjene zakrpe kako bi zaštitili svoje sisteme od eksploatacije.
Eksploatacija CVE-2024-40711 naglašava potrebu za proaktivnim odbrambenim strategijama, uključujući pravovremena ažuriranja, jake sigurnosne mjere i kontinuirano praćenje potencijalnih prijetnji.
Preduzećima koja se oslanjaju na Veeam Backup & Replication se savjetuje da ažuriraju svoje sisteme i ojačaju odbranu udaljenog pristupa kako bi spriječili slične napade.
Izvor: CyberSecurityNews