Un code d’exploitation multiplateforme est désormais disponible pour une vulnérabilité de service de sauvegarde de haute gravité affectant le logiciel de sauvegarde et de réplication (VBR) de Veeam.
La faille (CVE-2023-27532) affecte toutes les versions de VBR et peut être exploitée par des attaquants non authentifiés pour violer l’infrastructure de sauvegarde après avoir volé des informations d’identification en texte clair et obtenu l’exécution de code à distance en tant que SYSTEM.
Veeam a publié le 7 mars des mises à jour de sécurité pour corriger cette vulnérabilité pour VBR V11 et V12, conseillant aux clients utilisant des versions plus anciennes de mettre à niveau pour sécuriser les appareils vulnérables exécutant des versions non prises en charge.
« Nous avons développé des correctifs pour V11 et V12 afin d’atténuer cette vulnérabilité et nous vous recommandons de mettre à jour vos installations immédiatement », a averti la société.
La société a également partagé un correctif temporaire pour les administrateurs qui ne pouvaient pas déployer immédiatement les correctifs, ce qui nécessite de bloquer les connexions externes au port TCP 9401 à l’aide du pare-feu du serveur de sauvegarde pour supprimer le vecteur d’attaque.
Veeam affirme que son logiciel VBR est utilisé par plus de 450 000 clients dans le monde, dont 82 % des entreprises du Fortune 500 et 72 % du Global 2 000.
Aujourd’hui, un peu plus de deux semaines après que Veeam a publié les correctifs CVE-2023-27532, l’équipe d’attaque d’Horizon3 a publié une analyse technique des causes profondes de cette vulnérabilité très grave.
Ils ont également publié un code d’exploitation de preuve de concept (PoC) multiplateforme qui permet d’obtenir des informations d’identification en clair à partir de la base de données de configuration VBR en abusant d’un point de terminaison d’API non sécurisé.
« Nous avons publié notre POC sur Github, qui est construit sur le noyau .NET et capable de fonctionner sur Linux, le rendant accessible à un public plus large », a déclaré James Horseman, chercheur sur les vulnérabilités d’Horizon3.
« Il est important de noter que cette vulnérabilité doit être prise au sérieux et que des correctifs doivent être appliqués dès que possible pour assurer la sécurité de votre organisation. »
La semaine dernière, les chercheurs en sécurité de Huntress ont partagé une vidéo de démonstration de leur propre exploit PoC capable de vider les informations d’identification en texte clair et de réaliser l’exécution de code arbitraire via des appels d’API supplémentaires qui pourraient être militarisés.
« Alors que le vidage des informations d’identification non authentifié agit comme un vecteur de mouvement latéral ou de post-exploitation, la vulnérabilité en question peut également être utilisée pour l’exécution de code à distance non authentifié – transformant l’instance Veeam vulnérable elle-même en un vecteur d’accès initial ou de compromis supplémentaire », Huntress Les chercheurs en sécurité des laboratoires, John Hammond, ont expliqué.
Sur 2 millions de terminaux exécutant son logiciel agent, Huntress a déclaré avoir détecté plus de 7 500 hôtes exécutant le logiciel Veeam Backup & Replication vulnérables aux exploits CVE-2023-27532.
Bien qu’il n’y ait aucun rapport d’acteurs malveillants exploitant cette vulnérabilité et aucune tentative de l’exploiter dans la nature, les attaquants créeront probablement leurs propres exploits basés sur le code PoC publié par les chercheurs d’Horizon3 pour cibler les serveurs Veeam exposés à Internet.