Veeam

ランサムウェア集団は、攻撃者が脆弱なVeeam Backup & Replication (VBR)サーバー上でリモート・コード実行(RCE)を可能にする重大なセキュリティ脆弱性を悪用しています。

Code Whiteのセキュリティ研究者であるFlorian Hauserは、現在CVE-2024-40711として追跡されているこのセキュリティの欠陥が、認証されていない脅威者が複雑性の低い攻撃で悪用できる、信頼されていないデータのデシリアライズの弱点に起因することを発見しました。

Veeamは9月4日にこの脆弱性を公表し、セキュリティ・アップデートをリリースしましたが、watchTowr Labsは9月9日に技術分析を発表しました。しかし、watchTowr Labsは、管理者がサーバーを保護するのに十分な時間を与えるために、概念実証のエクスプロイトコードの公開を9月15日まで延期しました。

この延期は、仮想マシン、物理マシン、クラウドマシンのバックアップ、リストア、レプリケーションのためのデータ保護およびディザスタリカバリソリューションとしてVeeamのVBRソフトウェアを使用している企業によって促された。

このため、企業のバックアップデータへの迅速なアクセスを求める悪意のある行為者にとって、Veeam は非常に人気のあるターゲットとなっています。

Code White Veeam VBR RCE

Sophos X-Ops のインシデントレスポンダーが先月発見したように、CVE-2024-40711 RCE の欠陥は、AkiraFogランサムウェアの攻撃において、ローカルの管理者グループとリモートデスクトップユーザグループに「ポイント」ローカルアカウントを追加するために、以前に侵害された認証情報とともに、すぐに検出され、悪用されました。

「あるケースでは、攻撃者はFogランサムウェアを投下した。同じ時間枠の別の攻撃では、Akiraランサムウェアを展開しようとしました。Sophos X-Ops、「この 4 つのケースはすべて、以前の Akira ランサムウェアや Fog ランサムウェアの攻撃と重複しています。

「いずれのケースでも、攻撃者は当初、多要素認証を有効にしていない侵害された VPN ゲートウェイを使用してターゲットにアクセスしていました。これらの VPN の中には、サポートされていないソフトウェアバージョンを実行しているものもありました。

「Fogランサムウェア事件では、攻撃者は保護されていないHyper-Vサーバにランサムウェアを展開し、rcloneユーティリティを使用してデータを流出させました。

ランサムウェア攻撃の標的となったVeeamの欠陥は初めてではない

昨年、2023年3月7日、Veeamは、バックアップ・インフラ・ホストに侵入するために悪用されるBackup & Replicationソフトウェアの重大度の高い脆弱性(CVE-2023-27532)にもパッチを適用しました。

その数週間後の3月下旬、フィンランドのサイバーセキュリティおよびプライバシー会社WithSecureは、Conti、Revil、Maze、Egregor、およびBlackBastaランサムウェア作戦との関連で知られる、金銭的動機に基づくFIN7脅威グループに関連する攻撃で展開されたCVE-2023-27532エクスプロイトを発見しました。

その数ヶ月後、同じVeeam VBRエクスプロイトが、米国の重要インフラおよびラテンアメリカのIT企業に対するキューバのランサムウェア攻撃で使用されました。

Veeamによると、同社の製品は、グローバル2,000社の少なくとも74%を含む、世界中の55万以上の顧客によって使用されています。