Los operadores de ransomware están explotando las vulnerabilidades de gravedad de Veeam Backup & Replication para crear cuentas fraudulentas e implementar malware, advirtió Sophos.
Este problema se rastrea como CVE-2024-40711 (puntaje CVSS 9.8), que puede explotarse de forma remota sin autenticación para ejecutar código arbitrario y se lanzó a principios de septiembre en Veeam Backup & Replication versión 12.2 (el parche se aplicó en el lanzamiento de construir 12.2.2). 0,334).
Ni Veeam ni Code White, que supuestamente informaron del error, proporcionaron detalles técnicos, pero la empresa de gestión de superficies de ataque WatchTowr realizó un análisis detallado del parche para comprender mejor la vulnerabilidad.
CVE-2024-40711 constaba de dos problemas: una falla de deserialización y un error de autenticación incorrecta. Veeam solucionó la autenticación incorrecta en la compilación 12.1.2.172 del producto para evitar la explotación anónima e incluyó un parche para un error de deserialización en la compilación 12.2.0.334, reveló WatchTowr.
Dada la gravedad del fallo de seguridad, la empresa de seguridad dijo que estaba “un poco preocupada por lo valioso que es este error para los operadores de malware” y se abstuvo de publicar un exploit de prueba de concepto (PoC). Una nueva advertencia de Sophos confirma estas preocupaciones.
“En el último mes, Sophos estamos rastreando una serie de ataques en todo el mundo”, dijo Sophos en un comunicado. Publicación del jueves en Mastodon.
Las empresas de ciberseguridad han observado a atacantes implementando ransomware Fog y Akira, y los síntomas de los cuatro incidentes son consistentes con ataques observados previamente atribuidos a estos grupos de ransomware.
Según Sophos, los atacantes utilizaron una puerta de enlace VPN comprometida que carecía de protección de autenticación multifactor para el acceso inicial. En algunos casos, la VPN ejecutaba una iteración de software no compatible.
anuncio publicitario. Desplázate para seguir leyendo.
“Cada vez, el atacante aprovechó Veeam con el URI /trigger en el puerto 8000 para activar Veeam.Backup.MountService.exe para generar net.exe. El exploit creó un 'punto' de cuenta local y se agregará al grupo de administradores local. y el grupo de usuarios de escritorio remoto”, dijo Sophos.
Después de crear con éxito una cuenta, los operadores del ransomware Fog implementaron el malware en un servidor Hyper-V desprotegido y utilizaron la utilidad Rclone para extraer datos.
Relacionado: Okta les dice a los usuarios que verifiquen las vulnerabilidades recientemente parcheadas para detectar posibles explotaciones
Relacionado: Apple parchea la vulnerabilidad de Vision Pro para prevenir el ataque GAZEploit
Relacionado: La vulnerabilidad en el complemento de almacenamiento en caché LiteSpeed deja a millones de sitios de WordPress vulnerables a ataques
Relacionado: Conceptos básicos de seguridad modernos: gestión de vulnerabilidades basada en riesgos
https://packetstormsecurity.com/news/view/36464/Recent-Veeam-Vulnerability-Exploited-In-Ransomware-Attacks.html
