Лазейки в Veeam: Akira и Fog атакуют корпоративные данные

Исследователи безопасности из компании Sophos X-Ops обнаружили, что хакерские группировки начали активно использовать критическую уязвимость в системе Veeam Backup & Replication (VBR), позволяющую злоумышленникам удалённо выполнять код на уязвимых серверах.

Недостаток безопасности, зарегистрированный как CVE-2024-40711, ранее был выявлен исследователем безопасности Флорианом Хаузером. Уязвимость связана с десериализацией недоверенных данных, что позволяет злоумышленникам без аутентификации проводить атаки с низким уровнем сложности.

Veeam объявила о наличии этой уязвимости и выпустила обновления безопасности 4 сентября 2024 года. Позже технический анализ уязвимости был опубликован экспертами из watchTowr Labs, однако они отложили выпуск кода доказательства концепции до 15 сентября, чтобы дать администраторам время для устранения угрозы.

VBR является популярным решением для защиты данных и восстановления после сбоев, что делает его приоритетной целью для хакеров, стремящихся получить доступ к резервным копиям компаний. За последний месяц специалисты из Sophos X-Ops установили, что уязвимость CVE-2024-40711 активно используется в атаках с применением программ-вымогателей Akira и Fog. Злоумышленники, получив доступ с помощью скомпрометированных учётных данных, создавали локальные учётные записи с правами администратора и пользователей удалённого рабочего стола.

В одном из случаев хакеры использовали Fog для атаки на сервер Hyper-V, а затем использовали утилиту rclone для эксфильтрации данных. В аналогичный период была предпринята попытка развернуть программу Akira. Примечательно, что все эти случаи имели схожие индикаторы с более ранними атаками с использованием данных вымогателей.

Отмечается, что ранее, в марте 2023 года, Veeam уже устраняла другую уязвимость — CVE-2023-27532, которая также использовалась для атак на инфраструктуру резервного копирования. Тогда уязвимость была замечена в атаках группы FIN7, связанной с известными операциями по распространению программ-вымогателей Conti, REvil и других.

Продукты Veeam используются более чем полумиллионом клиентов по всему миру, включая 74% компаний из списка Global 2000. Это подчёркивает критичность атак на VBR, поскольку компрометация такого широко используемого ПО может привести к масштабным утечкам данных и нарушению работы крупных организаций по всему миру.