Yönetişim ve Risk Yönetimi , Yama Yönetimi
Uyarı Endişeleri Satıcının Veeam Backup & Replication Ürünü
Marianne Kolbasuk McGee (SağlıkBilgisi) •
11 Mayıs 2023
Federal yetkililer, yazılım geliştiricisi Veeam tarafından yapılan bir yedekleme uygulamasına yönelik siber saldırılardaki artış konusunda sağlık sektörünü uyarıyor. Saldırılar, satıcının Mart ayında açıklanan yazılımındaki yüksek önemdeki bir güvenlik açığından yararlanmaya bağlı görünüyor.
Ayrıca bakınız: Proaktif Risk Yönetimi ile Siber Güvenliği Dönüştürün
CVE-2023-27532 olarak izlenen güvenlik açığı, Veeam Backup & Replication’da depolanan şifrelenmiş kimlik bilgilerini açığa çıkarıyor. Sağlık ve İnsan Hizmetleri Bakanlığı’nın Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi Çarşamba günü yaptığı bir uyarıda, kötüye kullanılmasının yedekleme altyapısı ana bilgisayarlarına yetkisiz erişime yol açabileceğini söyledi.
Bu tür izinsiz girişler, veri hırsızlığına veya fidye yazılımının konuşlandırılmasına neden olabilir.
Sanal makinelerdeki verileri yedekleyen, çoğaltan ve geri yükleyen Veeam yazılımının tüm sürümleri bu sorundan etkileniyor. HHS HC3, ek olarak, yazılımın Oracle ve Microsoft SQL veritabanlarının işlem düzeyinde geri yüklemelerini sağlama yeteneğine de sahip olduğunu söyledi.
“Bu tehdidi önemli kılan, sanal makinelerin yedeklenmesi ve kurtarılmasının yanı sıra, sağlık ve halk sağlığı sektöründe kullanılan Microsoft Exchange ve SharePoint gibi ortamlar için bireysel dosya ve uygulamaların korunması ve geri yüklenmesi için VBR’nin kullanılmasıdır.” HHS HC3 yazıyor.
Güvenlik Açığı Ayrıntıları
Mart ayı sonunda araştırmacılar, en az bir siber suç grubu olan FIN7 tarafından Veeam Backup & Replication yazılımı çalıştıran internete açık sunuculara yönelik saldırılar gerçekleştirdiği tespit edildi. Uyarı, FIN7’nin bir dizi yüksek profilli saldırıya bağlı olduğunu ve BlackBasta dahil olmak üzere fidye yazılımı gruplarıyla bağlantılı olduğu biliniyor.
Veeam Software, 7 Mart’ta güvenlik açığı için geçici çözüm talimatları yayınladı.
O ayın sonlarında bir penetrasyon testi firması, güvenlik açığından yararlanarak, güvenli olmayan bir API uç noktasının kimlik bilgilerini düz metin olarak çıkarmak için nasıl kötüye kullanılabileceğini gösteren bir istismar yayınladı.
HHS HC3, kötü niyetli bir aktörün en yüksek ayrıcalıklarla uzaktan kod çalıştırmak için güvenlik açığından yararlanabileceğini yazıyor. “Bununla ilgili önemli olan şey, tehdit araştırmacılarının internete maruz kalan yaklaşık 7.500 VBR ana bilgisayarının savunmasız göründüğünü belirlemesidir.”
Veeam’in artık bir yaması var.
Veeam ürün stratejisi kıdemli direktörü Rick Vanover, Information Security Media Group’a şirketin tüm müşterilerini tüm yazılımların ve yamaların en son sürümlerini zamanında kullanmaya teşvik ettiğini söyledi.
“Güvenlik açığı belirlenip bir güvenlik araştırmacısı tarafından bildirildiğinde, Veeam Backup & Replication v11 ve v12’deki güvenlik açığını azaltmak için hemen bir yama geliştirdik ve güvenlik açığı kamuya açıklanmadan önce tüm VBR müşterilerimizle doğrudan iletişim kurduk” dedi.
Değersiz Kusur
Güvenlik firması Rapid7’deki araştırmacılar ayrıca Veeam yedekleme ve replikasyon ürünüyle ilgili olaylarda bir artış tespit etti, ancak bu artış özellikle sağlık sektörü için geçerli değil.
Güvenlik araştırması üst düzey yöneticisi Caitlin Condon, şirketin birkaç ay önce Veeam Backup & Replication güvenlik açığı hakkında bir ilk analiz yaptığını söyledi. “Geçmişte fidye yazılımlarında ve diğer tehdit kampanyalarında Veeam’in hem ilk saldırı vektörü hem de kurban ortamlarından veri sızdırmanın bir yolu olarak birkaç kez kullanıldığını gördük,” dedi.
Condon, Rapid7 araştırmacılarının Mart ayında CVE-2023-27352 güvenlik açığının temel nedeninin, Microsoft’un hizmet odaklı uygulama çerçevesi olan uzak bir Windows Communication Foundation’da kimlik doğrulama eksikliği olduğunu doğruladı.
“Başarılı bir istismar, bir saldırganın hem düz metin kimlik bilgilerini sızdırmasına hem de Veeam Backup & Replication sunucusunda yerel sistem ayrıcalıklarıyla uzaktan kod yürütmesine olanak tanır” dedi.
Hizmet tarafından depolanan kimlik bilgilerinin, ürünün, kuruluşun yedekleme altyapısını oluşturan çok sayıda bağlı bileşen için kimlik doğrulaması yapmasına izin vermesi amaçlanır. “Güvenlik açığı açıklaması, bir saldırının şifrelenmiş kimlik bilgilerini açığa çıkarabileceğini söylese de, ekibimiz ve diğerleri, kimlik bilgilerinin kablo üzerinden düz metin olarak aktarıldığını doğruladı.”
Condon, 7.5 olan CVSS puanına itiraz etti. “Bu puan, kusurun etkisini önemli ölçüde hafife alıyor. 9.1, bu güvenlik açığını doğru bir şekilde kritik olarak sınıflandıracak daha gerçekçi bir CVSS puanı olacaktır.”
HHS HC3, Veeam’in yedekleme ve çoğaltma yazılımını kullanan kuruluşların, satıcının yamasını uygulamak veya bazı durumlarda yama yüklenene kadar geçici bir çözüm olarak yedekleme sunucusu güvenlik duvarındaki TCP 9401 bağlantı noktasına harici bağlantıları engellemek de dahil olmak üzere şirketin önerdiği hafifletme önlemlerini izlemesi gerektiğini söyledi. .