Yönetim ve Risk Yönetimi, Yama Yönetimi
Uzmanlar, Fidye Yazılımı Gruplarının Kritik Önemdeki Hataları Veri Çalmak İçin Kullanacağını Uyarıyor
Mathew J. Schwartz (euroinfosec) •
9 Eylül 2024
Güvenlik uzmanları, tüm Veeam Backup & Replication yazılımı kullanıcılarını, uzaktan erişilebilen kritik bir hatayı düzeltmek için yazılımlarını derhal güncellemeye çağırıyor.
Ayrıca bakınız: Proaktif Maruziyet Yönetimiyle Siber Güvenliği Dönüştürün
Veeam, CVE-2024-40711 olarak izlenen bu güvenlik açığını ilk olarak Perşembe günü, ürün yelpazesindeki 18 güvenlik açığını gidermek için yamalar yayınladığında duyurdu. Bu güvenlik açıkları arasında, uzaktan istismar edilerek keyfi kod çalıştırılabildiği için kritik olarak adlandırılan beş güvenlik açığı da yer alıyor.
Yaygın olarak kullanılan Veeam Backup & Replication için güncelleme, yazılımın 12.1.2.172 sürümünde ve tüm önceki 12 sürüm yapılarında bulunan kusurları düzeltir. Yazılım, bulut, sanal ve fiziksel BT ortamlarında yedekleme ve kurtarma için kullanılır ve AWS, Azure, Google Cloud, Oracle, SAP Hana ve Broadcom’un VMware gibi işletim sistemleri ve ortamlarıyla doğrudan çalışır.
Şirket, Şubat ayında desteği sona eren 11. sürüm gibi artık desteklenmeyen Veeam Backup & Replication sürümlerinin “test edilmediği, ancak büyük olasılıkla etkilendiği ve güvenlik açığı olarak değerlendirilmesi gerektiği” konusunda uyardı.
Saldırganlar, önce sunucuya kimlik doğrulaması yapmadan bir Veeam Backup & Replication sunucusunda uzaktan kod yürütmek için CVE-2024-40711’i kullanabilir. Satıcı, kusuru 10 puanlık CVSS ölçeğinde 9,8 olarak derecelendirdi ve keşfini siber güvenlik hizmet sağlayıcısı Code White’daki araştırmacı Florian Hauser’a atfetti.
Şirket, söz konusu açığın “sistemin tamamının ele geçirilmesi” için kullanılabileceğini ve güvenlik açığıyla ilgili teknik detayların hemen açıklanmayacağını, “çünkü bunun fidye yazılımı çeteleri tarafından anında kötüye kullanılabileceğini” söyledi.
Veeam Backup & Replication’ın perşembe günkü güncellemesiyle düzeltilen diğer dört açık, saldırganın bunları istismar edebilmesi için öncelikle yazılımda düşük ayrıcalıklı bir rol elde etmesi veya ağa erişim sağlamış olması gerektiğinden yüksek öneme sahip olarak derecelendirildi.
Veeam tarafından Perşembe günü yayınlanan diğer güncellemeler, LinuxOne için yazılım aracısındaki, sanal ve veri koruma ortamlarını yönetme yazılımındaki ve Yedekleme ve Çoğaltma yazılımı iş yüklerini yönetme yazılımı olan Service Provider Console yazılımındaki, ayrıca Nutanix AHV sanallaştırma platformu, Oracle Linux Virtualization Manager ve Red Hat Virtualization ürünleri için yedekleme yazılımındaki güvenlik açıklarını ele alıyor.
Saldırı yüzeyi yönetimi ve tehdit avlama platformu Censys, CVE-2024-40711’in özellikle endişe verici olduğunu, çünkü bu güvenlik açığının “bir sistemin tam kontrolünü ele geçirmek, verileri manipüle etmek ve potansiyel olarak bir ağ içinde yatay olarak hareket etmek için kullanılabileceğini ve bu sayede tehdit aktörleri için nispeten yüksek değerli bir hedef haline gelebileceğini” söyledi.
Güvenlik açığının halihazırda vahşi saldırılar yoluyla aktif olarak istismar edilip edilmediği henüz belli değil. Yine de Censys, “büyük miktarda veriyi çıkarma ve ağlar içinde yanal hareketi etkinleştirme potansiyeli, fidye yazılımı saldırıları için bir hedef olabileceğini gösteriyor.” dedi.
Bu açığı istismar eden suçlular, yedekleme verilerini çalabilir ve fidye isteyebilir, ayrıca yedekleme ortamını kripto kilidine alabilir ve böylece çifte gasp saldırılarını körükleyebilir.
Fidye yazılımı ve siber suç grupları daha önce Veeam Backup & Replication’daki bilinen güvenlik açıklarını hedef almıştı. Bunlar arasında Veeam’in Mart 2023’te düzelttiği CVE-2023-27532 de yer alıyordu. Araştırmacılar, saldırganların bu açığı kullanarak şifrelenmiş kimlik bilgilerini çalabilecekleri ve yazılıma yetkisiz erişim sağlayıp potansiyel olarak ağın diğer bölümlerine geçebilecekleri konusunda uyardı.
Siber güvenlik firması Group-IB, Temmuz ayında EstateRansomware gibi grupların CVE-2023-27532 güvenlik açığının kamuoyuna açıklanmasından sadece birkaç hafta sonra bu açığı hedef almaya başladığını bildirdi.
Bu açığı hedef alan diğer gruplar arasında Cuba, Akira ve BlackBasta gibi fidye yazılımı gruplarıyla bağlantısı olan siber suç grubu FIN7 gibi fidye yazılımı operasyonları da yer alıyor (bkz: Federal Hükümet, Veeam Yazılım Kusurunu İçeren Saldırıların Artışı Konusunda Uyarıyor).
Geçtiğimiz Ağustos ayında, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, CVE-2023-27532’yi Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekledi.