Veeam, yaygın olarak kullanılan Yedekleme ve Çoğaltma aracı CVE-2024-40711’deki ciddi bir güvenlik açığını giderdi. Bu kritik kusurun Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) 9,8 gibi şaşırtıcı bir puanı var. Fidye yazılımı çeteleri, özellikle hedefli saldırılarda Akira ve Fog fidye yazılımlarını konuşlandırarak bu Veeam güvenlik açığından yararlanmaya başladı.
CVE-2024-40711, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine izin vererek saldırganların tam sistem kontrolüne yol açabilecek kötü amaçlı yükler göndermesine olanak tanır. Bu endişe verici keşif, Almanya’daki CODE WHITE’tan güvenlik araştırmacısı Florian Hauser tarafından yapıldı ve güvenlik açığını Veeam’e bildirdi.
Hauser, kusurun kritik niteliğini vurguladı ve şunları söyledi: “Veeam Backup & Replication sunucularınıza daha iyi yama yapın! Kendi @frycos’umuz tarafından keşfedilen CVE-2024-40711 yoluyla tam sistem devralınması; bu seferlik bizden teknik ayrıntı yok çünkü bu, fidye yazılımı çeteleri tarafından anında kötüye kullanılabilir.”
Kritik Veeam Güvenlik Açığı CVE-2024-40711
Bu güvenlik açığından yararlanılması halihazırda güvenlik ihlallerine yol açmıştır. Bir örnekte saldırganlar, korumasız bir Hyper-V sunucusuna sızmak ve rclone yardımcı programını kullanarak hassas verileri sızdırmak için Fog fidye yazılımından yararlandı. Çoğunlukla çok faktörlü kimlik doğrulaması (MFA) olmayan, güvenliği ihlal edilmiş VPN ağ geçitlerinin kullanımı nedeniyle bazı istismar girişimleri başarısız olsa da tehdit hala yüksek.
Kritik Veeam güvenlik açığına yanıt olarak şirket, 4 Eylül 2024’te Backup & Replication sürüm 12.2 için bir güvenlik yaması yayınladı. Bu sürümün ardından watchTowr Labs, 9 Eylül 2024’te güvenlik açıklarının ayrıntılı bir analizini gerçekleştirdi. Sistem yöneticilerine yeterli güvenlik sağlamak için Düzeltme zamanı geldiğinde, kavram kanıtı yararlanma kodunun yayınlanmasını 15 Eylül 2024’e kadar durdurdular.
Veeam’in kapsamlı kullanımı (Global 2000 şirketlerinin %74’ü dahil olmak üzere dünya çapında 550.000’den fazla müşteri) göz önüne alındığında, bu güvenlik açığı bir risk oluşturmaktadır. Veeam’in ürünleri, yedekleme verilerine hızlı erişim isteyen siber suçlular için özellikle cazip hedeflerdir; bu da acil eylem ve zamanında güncelleme ihtiyacını daha da vurgulamaktadır.
Belirlenen Ek Güvenlik Açıkları
CVE-2024-40711, Veeam ürünlerini etkileyen daha geniş bir güvenlik açıkları grubunun parçasıdır. Cyble’ın tavsiyesine göre, aşağıdakiler de dahil olmak üzere çeşitli başka güvenlik açıkları da rapor edildi:
- CVE-2024-40713: Yüksek şiddet
- CVE-2024-40710: Yüksek şiddet
- CVE-2024-40714: Yüksek şiddet
- CVE-2024-39718: Orta şiddette
- CVE-2024-42020’den CVE-2024-42024’e kadar orta şiddette ek güvenlik açıkları
Bu güvenlik açıkları öncelikli olarak Veeam Backup & Replication, izleme ve analiz için Veeam ONE ve Linux için Veeam Agent dahil olmak üzere çeşitli Veeam ürünlerini etkilemektedir. Etkilenen diğer ürünler arasında Veeam Service Provider Console ve Veeam Backup for Nutanix AHV yer alıyor ve bu güvenlik endişelerinin yaygın etkilerine dikkat çekiyor.
CVE-2024-40711’e ilişkin Teknik Bilgiler
CVE-2024-40711 özellikle kimliği doğrulanmamış saldırganların uzaktan kod yürütmesine olanak tanıyarak Veeam Backup & Replication 12.1.2.172 ve önceki sürümlerini çalıştıran kullanıcılar için ciddi bir risk oluşturur. Bir araştırma sırasında Cyble’ın ODIN tarayıcısı, ağırlıklı olarak ABD’de olmak üzere internete açık yaklaşık 2.466 Veeam Backup örneğini tespit etti. Bu yüksek görünürlük, bu sistemleri istismara karşı özellikle savunmasız hale getiriyor.
Üstelik bu olay münferit değil. Veeam daha önce Mart 2023’te, çeşitli fidye yazılımı operasyonlarıyla bağlantıları ile bilinen finansal motivasyonlu FIN7 tehdit grubuyla bağlantılı olan CVE-2023-27532 adlı başka bir yüksek önemdeki güvenlik açığını yamıştı.
Çözüm
Veeam ürünlerinde tespit edilen güvenlik açıklarına karşı koruma sağlamak için kuruluşların en son güvenlik güncellemelerini uygulayarak anında yama uygulamaya öncelik vermesi, sürekli güvenliği sürdürmek için düzenli güncelleme protokolleri oluşturması ve potansiyel riskleri belirlemek için kapsamlı güvenlik değerlendirmeleri yapması gerekir.
Ayrıca mümkün olduğu durumlarda Veeam ürünlerini internetten izole etmeyi düşünmeli, yönetim erişimi için çok faktörlü kimlik doğrulamayı zorunlu kılmalı ve olağandışı etkinlikleri tespit etmek için kapsamlı izleme araçları uygulamalıdır.