Sophos研究人员警告称,勒索软件运营者正在利用Veeam备份与复制软件中的严重漏洞CVE-2024-40711创建恶意账户并部署恶意软件。2024年9月初,Veeam发布了安全更新以解决其产品中的多个漏洞,修复了Veeam备份与复制、服务提供商控制台和One中的18个高危和严重漏洞。9月安全公告中最为严重的漏洞是一个关键的远程代码执行(RCE)漏洞,编号为CVE-2024-40711(CVSS v3.1评分:9.8),影响Veeam备份与复制(VBR)。
Veeam备份与复制是一款由Veeam开发的综合数据保护和灾难恢复软件,使组织能够跨物理、虚拟和云环境备份、恢复和复制数据。该咨询指出,“该漏洞允许未经身份验证的远程代码执行(RCE)”。CODE WHITE GmbH的网络安全研究员Florian Hauser报告了此漏洞。此漏洞影响Veeam备份与复制12.1.2.172及所有更早的12版本。
Sophos X-Ops研究人员观察到近期攻击利用被盗凭据和Veeam漏洞CVE-2024-40711部署勒索软件,包括Fog和Akira。攻击者通过缺乏多因素身份验证的VPN网关访问目标,其中一些网关运行的是过时软件。重叠的指标将这些案例与之前的Fog和Akira勒索软件攻击联系起来。
Sophos在Mastodon上发布的一份声明中写道:“Sophos X-Ops MDR和事件响应团队正在追踪过去一个月中的一系列攻击,这些攻击利用被盗凭据和Veeam中的已知漏洞(CVE-2024-40711)来创建帐户并尝试部署勒索软件。在一个案例中,攻击者投放了Fog勒索软件。在同一时间段内发生的另一起攻击试图部署Akira勒索软件。所有四个案例中的指标都与早期的Akira和Fog勒索软件攻击重叠。在每个案例中,攻击者最初使用未启用多因素身份验证的被盗VPN网关访问目标。其中一些VPN运行的是不受支持的软件版本。”威胁行为者利用Veeam URI /trigger(8000端口)来生成net.exe并创建一个名为“point”的本地帐户,将其添加到本地管理员和远程桌面用户组中。
在一个案例中,攻击者在一个未受保护的Hyper-V服务器上部署了Fog勒索软件,并使用rclone进行数据泄露。“这些案例强调了修补已知漏洞、更新/替换不支持的VPN以及使用多因素身份验证来控制远程访问的重要性。Sophos X-Ops将继续跟踪这种威胁行为。”Sophos总结道。
原文始发于微信公众号(黑猫安全):近期攻击中,勒索软件运营者利用了Veeam备份与复制软件中的漏洞CVE-2024-40711
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论