Veeam Backup & Replication yazılımındaki CVE-2024-40711 olarak tanımlanan kritik bir güvenlik açığı, bilgisayar korsanları tarafından fidye yazılımı dağıtmak için kullanılıyor.
Kimliği doğrulanmamış uzaktan kod yürütülmesine (RCE) izin veren güvenlik açığı, CODE WHITE Gmbh ile Florian Hauser tarafından bildirildi ve Sophos X-Ops MDR ve Incident Response tarafından takip edildi.
Geçtiğimiz ay boyunca Sophos, yetkisiz hesaplar oluşturmak ve fidye yazılımı dağıtmaya çalışmak için ele geçirilen kimlik bilgilerinden ve CVE-2024-40711 güvenlik açığından yararlanan bir dizi saldırı gözlemledi.
Bir durumda, saldırganlar Fog fidye yazılımını korumasız bir Hyper-V sunucusuna başarıyla bırakırken, başka bir saldırı Akira fidye yazılımını dağıtmaya çalıştı. Dört vakanın tamamındaki göstergeler, daha önceki Akira ve Fog fidye yazılımı saldırılarıyla örtüşüyor.
Analyse Any Suspicious Links Using ANY.RUN’s New Safe Browsing Tool: Try for Free
Saldırganlar başlangıçta, bazıları desteklenmeyen yazılım sürümlerini çalıştıran, çok faktörlü kimlik doğrulamayı etkinleştirmeden güvenliği ihlal edilmiş VPN ağ geçitlerini kullanarak hedeflere erişim sağladı.
Daha sonra 8000 numaralı bağlantı noktasındaki URI /trigger üzerinde Veeam.Backup.MountService.exe dosyasını tetikleyerek Veeam.Backup.MountService.exe dosyasını tetikleyerek Veeam güvenlik açığından yararlandılar; bu dosya net.exe’yi oluşturdu ve “point” adında bir yerel hesap oluşturdu. Bu hesap, yerel Yöneticiler ve Uzak Masaüstü kullanıcı gruplarına eklenerek saldırganlara sisteme ayrıcalıklı erişim izni verildi.
Fog fidye yazılımı olayında, saldırganlar yalnızca fidye yazılımı dağıtmakla kalmadı, aynı zamanda ele geçirilen sistemden hassas verileri sızdırmak için rclone yardımcı programını da kullandı. Sophos uç nokta koruması ve MDR, diğer durumlarda fidye yazılımı dağıtımlarını engelledi.
Bu olaylar, bilinen güvenlik açıklarına yama uygulanmasının, destek dışı VPN’lerin güncellenmesinin veya değiştirilmesinin ve uzaktan erişimi kontrol etmek için çok faktörlü kimlik doğrulamanın kullanılmasının önemini vurgulamaktadır.
Veeam, CVE-2024-40711 güvenlik açığını yayan bir güncelleme (VBR sürüm 12.2.0.334) yayınladı ve yöneticilerin sistemlerini kötüye kullanıma karşı korumak için yamaları hemen uygulamaları tavsiye ediliyor.
CVE-2024-40711’in kullanılması, zamanında güncellemeler, güçlü güvenlik önlemleri ve potansiyel tehditlerin sürekli izlenmesi dahil olmak üzere proaktif savunma stratejilerine olan ihtiyacın altını çiziyor.
Veeam Backup & Replication’a güvenen kuruluşların benzer saldırıları önlemek için sistemlerini güncellemeleri ve uzaktan erişim savunmalarını güçlendirmeleri tavsiye ediliyor.
Strategies to Protect Websites & APIs from Malware Attack => Free Webinar