Les gangs de ransomwares exploitent désormais une vulnérabilité de sécurité critique qui permet aux attaquants d’obtenir l’exécution de code à distance (RCE) sur des serveurs Veeam Backup & Replication (VBR) vulnérables.
Florian Hauser, chercheur en sécurité de Code White, a découvert que la faille de sécurité, désormais identifiée sous le nom de CVE-2024-40711, est causée par une désérialisation de la faiblesse des données non fiables que les acteurs de la menace non authentifiés peuvent exploiter dans des attaques de faible complexité.
Veeam a révélé la vulnérabilité et publié des mises à jour de sécurité le 4 septembre, tandis que watchTowr Labs a publié une analyse technique le 9 septembre. Cependant, watchTowr Labs a retardé la publication du code d’exploitation de validation de principe jusqu’au 15 septembre pour donner aux administrateurs suffisamment de temps pour sécuriser leurs serveurs.
Ce retard a été provoqué par les entreprises utilisant le logiciel VBR de Veeam comme solution de protection des données et de reprise après sinistre pour la sauvegarde, la restauration et la réplication des machines virtuelles, physiques et cloud.
Cela en fait une cible très populaire pour les acteurs malveillants cherchant un accès rapide aux données de sauvegarde d’une entreprise.
Comme les intervenants en cas d’incident Sophos X-Ops l’ont découvert le mois dernier, la faille CVE-2024-40711 RCE a été rapidement détectée et exploitée dans les attaques de ransomware Akira et Fog avec des informations d’identification précédemment compromises pour ajouter un compte local « point » aux Administrateurs locaux et aux groupes d’utilisateurs de bureau à distance.
« Dans un cas, les attaquants ont abandonné le ransomware Fog. Une autre attaque dans le même laps de temps a tenté de déployer le ransomware Akira. Les indicateurs dans les 4 cas se chevauchent avec les précédentes attaques de ransomware Akira et Fog », a déclaré Sophos X-Ops.
« Dans chacun des cas, les attaquants ont initialement accédé à des cibles en utilisant des passerelles VPN compromises sans authentification multifacteur activée. Certains de ces VPN exécutaient des versions logicielles non prises en charge.
« Dans l’incident du ransomware Fog, l’attaquant l’a déployé sur un serveur Hyper-V non protégé, puis a utilisé l’utilitaire rclone pour exfiltrer les données. »
Ce n’est pas la première faille de Veeam ciblée par des attaques de ransomware
L’année dernière, le 7 mars 2023, Veeam a également corrigé une vulnérabilité de gravité élevée dans le logiciel de sauvegarde et de réplication (CVE-2023-27532) qui peut être exploitée pour violer les hôtes de l’infrastructure de sauvegarde.
Quelques semaines plus tard, fin mars, la société finlandaise de cybersécurité et de confidentialité WithSecure a repéré des exploits CVE-2023-27532 déployés dans des attaques liées au groupe de menaces FIN7 à motivation financière, connu pour ses liens avec les opérations de ransomware Conti, REvil, Maze, Egregor et BlackBasta.
Des mois plus tard, le même exploit Veeam VBR a été utilisé dans des attaques de ransomware à Cuba contre des infrastructures critiques américaines et des sociétés informatiques latino-américaines.
Veeam affirme que ses produits sont utilisés par plus de 550 000 clients dans le monde, dont au moins 74% des 2 000 entreprises mondiales.