据安全研究人员发现，勒索软件团伙现在正利用一个严重的安全漏洞，让攻击者能够在易受攻击的 Veeam Backup & Replication (VBR) 服务器上获得远程代码执行 (RCE)。 

Code White 安全研究员 Florian Hauser 发现，该安全缺陷（现已追踪为 CVE-2024-40711）是由不可信数据漏洞的反序列化引起的，未经身份验证的威胁者可以在低复杂性攻击中利用该漏洞。

Veeam 于 9 月披露了该漏洞并发布了安全更新，而 watchTowr Labs 也发布了技术分析。不过，watchTowr Labs 将概念验证漏洞利用代码推迟发布，以便管理员有足够的时间来保护其服务器。

此次延迟是由于企业使用 Veeam 的 VBR 软件作为数据保护和灾难恢复解决方案来备份、恢复和复制虚拟、物理和云机器。

这使得它成为寻求快速访问公司备份数据的恶意分子非常受欢迎的目标。

正如 Sophos X-Ops 事件响应人员发现的那样，CVE-2024-40711 RCE 缺陷很快就被发现，并在 Akira 和 Fog 勒索软件攻击中与之前泄露的凭据一起被利用，以向本地管理员添加“点”本地帐户和远程桌面用户组。

Sophos X-Ops 表示：“在一个案例中，攻击者投放了 Fog 勒索软件。同一时间范围内的另一次攻击试图部署 Akira 勒索软件。所有 4 个案例中的指标都与之前的 Akira 和 Fog 勒索软件攻击重叠。” 

在每种情况下，攻击者最初都使用受损的 VPN 网关访问目标，而没有启用多因素身份验证。其中一些 VPN 运行不受支持的软件版本。

在 Fog 勒索软件事件中，攻击者将其部署到未受保护的 Hyper-V 服务器上，然后使用实用程序 rclone 来窃取数据。

这不是勒索软件攻击中的第一个 Veeam 漏洞

去年，即 2023 年 3 月 7 日，Veeam 还修补了备份和复制软件 (CVE-2023-27532) 中的一个高严重性漏洞，该漏洞可被利用来破坏备份基础设施主机。

几周后，芬兰网络安全和隐私公司 WithSecure 发现 CVE-2023-27532 漏洞部署在与出于经济动机的 FIN7 威胁组织相关的攻击中，该组织因与 Conti、REvil、Maze、Egregor 和 BlackBasta 勒索软件操作的联系而闻名。

几个月后，同样的 Veeam VBR 漏洞被用于针对美国关键基础设施和拉丁美洲 IT 公司的古巴勒索软件攻击。 

Veeam 表示，其产品被全球超过 550,000 家客户使用，其中包括全球 2,000 强公司中至少 74% 的客户。

参考及来源：https://www.bleepingcomputer.com/news/security/akira-and-fog-ransomware-now-exploiting-critical-veeam-rce-flaw/