Après avoir été utilisée dans les attaques de ransomware Akira et Fog, une faille de sécurité critique de Veeam Backup & Replication (VBR)a également été récemment exploitée pour déployer le ransomware Frag.
Florian Hauser, chercheur en sécurité de Code White, a découvert que la vulnérabilité (identifiée comme CVE-2024-40711) est causée par une désérialisation de la faiblesse des données non fiables que les acteurs de la menace non authentifiés peuvent exploiter pour obtenir l’exécution de code à distance (RCE) sur les serveurs Veeam VBR.
watchTowr Labs, qui a publié une analyse technique sur CVE-2024-40711 le 9 septembre, a retardé la publication d’un exploit de validation de principe jusqu’au 15 septembre pour donner aux administrateurs suffisamment de temps pour appliquer les mises à jour de sécurité publiées par Veeam le 4 septembre.
Code White a également retardé le partage de plus de détails lorsqu’il a révélé la faille, car elle » pourrait instantanément être abusée par des gangs de ransomwares. »
Ces retards ont été provoqués par le fait que le logiciel VBR de Veeam est une cible populaire pour les auteurs de menaces cherchant un accès rapide aux données de sauvegarde d’une entreprise, car de nombreuses entreprises l’utilisent comme solution de reprise après sinistre et de protection des données pour sauvegarder, restaurer et répliquer des machines virtuelles, physiques et cloud.
Cependant, les intervenants en cas d’incident Sophos X-Ops ont constaté que cela ne faisait que très peu pour retarder les attaques de ransomware Akira et Fog. Les auteurs de la menace ont exploité la faille RCE avec des informations d’identification de passerelle VPN volées pour ajouter des comptes malveillants aux administrateurs locaux et aux groupes d’utilisateurs de postes de travail distants sur des serveurs non corrigés et exposés à Internet.
Plus récemment, Sophos a également découvert que le même cluster d’activité de menace (suivi comme « STAC 5881 ») utilisait des exploits CVE-2024-40711 dans des attaques qui ont conduit au déploiement de ransomwares Frag sur des réseaux compromis.
»Dans un cas récent, les analystes MDR ont de nouveau observé les tactiques associées à STAC 5881 – mais cette fois, ils ont observé le déploiement d’un ransomware précédemment non documenté appelé « Frag » », a déclaré Sean Gallagher, chercheur principal sur les menaces chez Sophos X-Ops.
« Comme lors des événements précédents, l’auteur de la menace a utilisé une appliance VPN compromise pour l’accès, a exploité la vulnérabilité VEEAM et a créé un nouveau compte nommé « point ». Cependant, dans cet incident, un compte « point2″ a également été créé. »
Dans un rapport récent, la société britannique de cybersécurité Agger Labs a déclaré que le gang de ransomwares Frag récemment apparu utilise largement les binaires Living Off The Land (LOLBins) dans ses attaques—des logiciels légitimes déjà disponibles sur des systèmes compromis—ce qui rend difficile pour les défenseurs de détecter leur activité.
Ils ont également un manuel similaire à celui des opérateurs Akira et Fog, car ils cibleront probablement les vulnérabilités non corrigées et les erreurs de configuration des solutions de sauvegarde et de stockage lors de leurs attaques.
En mars 2023, Veeam a corrigé une autre vulnérabilité VBR de gravité élevée (CVE-2023-27532) qui peut permettre à des acteurs malveillants de violer l’infrastructure de sauvegarde. Des mois plus tard, un exploit CVE-2023-27532 (utilisé dans des attaques liées au groupe de menaces FIN7 à motivation financière) a été déployé dans des attaques de ransomware à Cuba ciblant des organisations d’infrastructures critiques américaines.
Veeam affirme que plus de 550 000 clients dans le monde utilisent ses produits, dont environ 74% de toutes les entreprises de la liste des 2 000 entreprises mondiales.