Производитель ПО для работы с виртуальными машинами уже подготовил фикс, теперь дело за клиентами компании.
Команда Horizon3 Attack Team, известная неоднократными громкими выпусками PoC-эксплойтов, недавно опубликовала на GitHub новый кроссплатформенный код эксплойта для критической уязвимости программного обеспечения Veeam's Backup & Replication (VBR), которое используется для работы с виртуальными машинами.
Уязвимость CVE-2023-27532 затрагивает все версии софта и может быть использована неавторизованными злоумышленниками для кражи учетных данных и удаленного выполнения кода от имени SYSTEM.
Veeam выпустила обновления безопасности для устранения этой уязвимости ещё 7 марта и рекомендует клиентам, использующим более старые версии VBR, выполнить обновление, чтобы защитить уязвимые устройства.
Компания также поделилась временным решением для защиты от уязвимости. Системным администраторов, которые не могут моментально развернуть исправления, требуется заблокировать внешние подключения к порту TCP 9401 с помощью брандмауэра резервного сервера.
Veeam заявляет, что её программное обеспечение VBR используют более 450 тысяч клиентов по всему миру, в том числе 82 % компаний из списка Fortune 500 и 72% из Global 2000.
Вчера, 23 марта, чуть более чем через две недели после того, как компания Veeam выпустила исправление CVE-2023-27532 , команда Horizon3 Attack Team опубликовала технический анализ первопричин этой уязвимости, а также вышеупомянутый код PoC-эксплойта, который позволяет получать учётные данные в виде открытого текста из базы данных конфигурации VBR, злоупотребляя незащищенной конечной API-точкой.
«Мы выложили на Github наш PoC-эксплойт, построенный на ядре .NET и способный работать в Linux, что делает его доступным для более широкой аудитории. Важно отметить, что к этой уязвимости следует отнестись серьезно и как можно скорее применить исправления, чтобы обеспечить безопасность вашей организации», — заявил Джеймс Хорсман, исследователь уязвимостей Horizon3.
А на прошлой неделе исследователи безопасности Huntress поделились видеодемонстрацией своего собственного PoC-эксплойта, направленного на ту же самую уязвимость программного обеспечения Veeam. На видео было показано, как эксплойт способен делать дампы учётных данных и выполнять произвольный код с помощью дополнительных API-вызовов, которые можно использовать в зловредных целях.
Huntress заявила, что из 2 миллионов конечных точек, на которых запущено её агентское программное обеспечение, она обнаружила более 7500 хостов с программным обеспечением Veeam Backup & Replication, уязвимым для эксплойтов CVE-2023-27532 .
Хотя в сети ещё нет сообщений о том, что злоумышленники активно эксплуатируют эту уязвимость, вероятно, скоро они озадачатся этим вопросом и создадут свои собственные эксплойты на основе PoC-кода, опубликованного исследователями Horizon3. Как показывает практика, далеко не все организации сразу обновляют своё программное обеспечение по первому зову поставщика. Вероятно, так будет и в этот раз, и у хакеров останется множество целей для потенциальной атаки.
Наш канал — питательная среда для вашего интеллекта