勒索软件团伙现在利用一个关键的安全漏洞,让攻击者在易受攻击的 Veeam Backup & Replication (VBR) 服务器上获得远程代码执行 (RCE)。
Code White安全研究员Florian Hauser发现,该安全漏洞(现在被追踪为CVE-2024-40711)是由未受信任数据的反序列化弱点引起的,未经认证的威胁行为者可以利用该漏洞进行低复杂度攻击。
Veeam 于 9 月 4 日披露了该漏洞并发布了安全更新,而 watchTowr Labs 则于 9 月 9 日发布了一份技术分析报告。不过,watchTowr Labs 将概念验证利用代码的发布时间推迟到了 9 月 15 日,以便管理员有足够的时间确保服务器安全。
企业将 Veeam 的 VBR 软件作为数据保护和灾难恢复解决方案,用于备份、恢复和复制虚拟机、物理机和云计算机,从而导致了这一延迟。这也使其成为恶意行为者寻求快速访问公司备份数据的热门攻击目标。
正如 Sophos X-Ops 事件响应人员在上个月发现的那样,CVE-2024-40711 RCE 漏洞很快被发现,并在 Akira 和 Fog 勒索软件攻击中被利用,与之前泄露的凭证一起,向本地管理员和远程桌面用户组添加“点”本地帐户。
在一个案例中,攻击者投放了Fog勒索软件。同一时间段的另一起攻击则试图部署 Akira 勒索软件。Sophos X-Ops表示:所有4起案件中的迹象都与早期的Akira和Fog勒索软件攻击重叠。
在每起案件中,攻击者最初都是使用未启用多因素身份验证的受损 VPN 网关访问目标。其中一些 VPN 运行的是不支持的软件版本。
在Fog勒索软件事件中,攻击者将其部署到未受保护的Hyper-V服务器上,然后使用实用程序rclone外泄数据。
这并非勒索软件攻击针对的首个Veeam漏洞
去年,即 2023 年 3 月 7 日,Veeam 还修补了备份与复制软件中的一个高严重性漏洞(CVE-2023-27532),该漏洞可被利用来入侵备份基础架构主机。
几周后的3月下旬,芬兰网络安全和隐私公司WithSecure发现CVE-2023-27532漏洞部署在与FIN7威胁组织有关的攻击中,FIN7威胁组织因与Conti、REvil、Maze、Egregor和BlackBasta勒索软件行动有关而闻名。
几个月后,同样的Veeam VBR漏洞被用于古巴针对美国关键基础设施和拉美IT公司的勒索软件攻击。
Veeam表示,其产品已被全球超过55万家客户使用,其中包括至少74%的全球2000强企业。
参考来源:Akira and Fog ransomware now exploit critical Veeam RCE flaw (bleepingcomputer.com)