Fidye yazılımı çeteleri artık saldırganların savunmasız Veeam Yedekleme ve Çoğaltma (VBR) sunucularında uzaktan kod yürütme (RCE) kazanmalarını sağlayan kritik bir güvenlik açığından yararlanıyor.
Kod Beyaz Güvenlik Araştırmacısı Florian Hauser, şimdi CVE-2024-40711 olarak izlenen güvenlik kusurunun, kimlik doğrulanmamış tehdit aktörlerinin düşük karmaşıklık saldırılarında sömürebileceği güvenilmeyen veri zayıflığının seansize edilmesinden kaynaklandığını buldu.
Veeam, güvenlik açığını açıkladı ve 4 Eylül'de güvenlik güncellemelerini yayınladı, WatchTowr Labs 9 Eylül'de teknik bir analiz yayınladı. Ancak WatchTowr Labs, 15 Eylül'e kadar Yayınlama Kanıtı Kodu Yayın Kanıtını Gecikme Kodu'nu Sunucularını güvence altına almak için yeterli zaman vermek için geciktirdi.
Gecikme, sanal, fiziksel ve bulut makinelerini yedeklemek, geri yüklemek ve çoğaltmak için bir veri koruma ve felaket kurtarma çözümü olarak Veeam'in VBR yazılımını kullanan işletmeler tarafından verildi.
Bu, bir şirketin yedekleme verilerine hızlı erişim arayan kötü niyetli aktörler için çok popüler bir hedef haline getirir.
Sophos X-OPS olay müdahalecileri geçen ay bulurken, CVE-2024-40711 RCE kusuru, yerel yöneticilere "nokta" yerel hesap eklemek için daha önce uzlaşmış kimlik bilgileriyle birlikte akira ve sis fidye yazılımı saldırılarında hızla alındı ve sömürüldü. ve uzak masaüstü kullanıcı grupları.
Sophos X-Ops, "Bir durumda, saldırganlar sis fidye yazılımı düşürdü. Aynı zaman dilimindeki başka bir saldırı Akira fidye yazılımlarını dağıtmaya çalıştı. 4 vakadaki göstergeler daha önceki Akira ve sis fidye yazılımı saldırılarıyla örtüşüyor." Dedi.
"Her durumda, saldırganlar başlangıçta çok faktörlü kimlik doğrulama etkin olmadan tehlikeye atılmış VPN ağ geçitleri kullanarak hedeflere eriştiler. Bu VPN'lerin bazıları desteklenmeyen yazılım sürümlerini çalıştırıyordu.
"Sis fidye yazılımı olayında, saldırgan onu korumasız bir hiper-V sunucusuna dağıttı, daha sonra verileri dışarı atmak için yardımcı rclone kullandı."
Geçen yıl, 7 Mart 2023'te Veeam ayrıca yedekleme ve çoğaltma yazılımında (CVE-2023-27532), yedekleme altyapı barındırmaları ihlal etmek için kullanılabilecek yüksek aralıklı bir güvenlik açığı yamaladı.
Haftalar sonra, Mart ayı sonlarında, Finlandiya Siber Güvenlik ve Gizlilik Şirketi, Conti, Revil, Labirent, Ewegor ve Blackbasta Ransomware Operasyonlarına Bağlantıları ile bilinen finansal olarak motive edilen FIN7 Tehdit Grubuna bağlı saldırılarda konuşlandırılan SECURED CVE-2023-27532 istismarları .
Aylar sonra, aynı Veeam VBR istismarı ABD kritik altyapısı ve Latin Amerika BT şirketlerine karşı Küba fidye yazılımı saldırılarında kullanıldı.
Veeam, ürünlerinin dünya çapında 550.000'den fazla müşteri tarafından kullanıldığını ve tüm küresel 2.000 şirketlerin en az% 74'ü de dahil olduğunu söylüyor.
Veeam, yedekleme ve çoğaltma yazılımında kritik RCE kusurunu uyarıyor
Kritik Sonicwall SSLVPN Hata Fidye yazılımı saldırılarında sömürüldü
Casio, bir fidye yazılımı saldırısında çalınan müşteri verilerini onaylar
Yeraltı Fidye Yazılımı Talepleri Casio'ya Saldırı, Sızıntılar Çalınan Veriler
Nasıl Açık Kaynak Siem ve XDR Gelişen Tehditlerle Mücadele
Kaynak: Bleeping Computer