Yedekleme ve kurtarma yazılımı tedarikçisi Veeam’in ürünlerinde bulunan ve 4 Eylül 2024’te ifşa edilerek yamalanan bir dizi güvenlik açığı, siber güvenlik camiasında alarm zillerinin çalmasına neden oluyor.
En acil sorun, Veeam tarafından düzeltilen ve CVE-2024-40711 olarak adlandırılan, Veeam Backup & Replication’daki uzaktan kod yürütme (RCE) güvenlik açığı olan yüksek öneme sahip kusurlardan biriyle ilgili.
Code White araştırmacısı Florian Hauser tarafından keşfedilen bu güvenlik açığının kritik CVSS puanı 9.8. Sosyal medya ağı X üzerinden yapılan açıklamada, Code White, potansiyel istismar nedeniyle sorunun tüm teknik ayrıntılarını şu anda paylaşmadığını söyledi.
Aslında, şu anda en çok endişeye neden olan şey CVE-2024-40711’den kaynaklanan potansiyel tehdittir. Censys’teki tehdit avcıları tarafından yayınlanan verilere göre, genel internete açık yaklaşık 3.000 Veeam Backup & Replication sunucusu var – bunların çoğu görünüşe göre Fransa ve Almanya’da bulunuyor.
Censys ekibi, “Bu güvenlik açığı, fidye yazılımı operatörleri tarafından yedekleme sistemlerini tehlikeye atmak ve potansiyel olarak çift gasp senaryoları yaratmak amacıyla kullanılma olasılığı nedeniyle özellikle endişe verici” dedi.
“Temmuz ayında açıklanan CVE-2023-27532 gibi Veeam Backup & Replication’daki daha önceki güvenlik açıkları, EstateRansomware, Akira, Cuba ve FIN7 gibi fidye yazılımı grupları tarafından ilk erişim, kimlik bilgisi hırsızlığı ve diğer kötü amaçlı faaliyetler için daha önce istismar edilmişti.”
Potansiyel istismar örneklerini tespit etmek için ağ telemetrisini tarayan Rapid7 ekibi, 9 Eylül Pazartesi itibarıyla CVE-2024-40711’e odaklanan herhangi bir kötü amaçlı etkinlikten haberdar olmadıklarını söyledi.
Ancak Rapid7 ekibi, meslektaşlarına benzer bir önlem notu düşerek şunları söyledi: “Veeam Backup & Replication’ın geniş bir dağıtım alanı var ve yazılımı etkileyen daha önceki birkaç güvenlik açığı, fidye yazılımı grupları da dahil olmak üzere, yaygın olarak kullanıldı.”
Rapid7’nin verilerine göre, bu yıl içinde müdahale ettiği olay müdahale vakalarının %20’sinden fazlasında Veeam’in bir öğesine erişildi veya bu öğe istismar edildi; ancak bu genellikle saldırganın kurban ortamında bulunmasından sonra gerçekleşti.
Backup & Replication’da ayrıca beş başka CVE daha açıklandı. Bunlardan birkaçı, düşük ayrıcalıklı bir hesabı kontrol eden bir saldırganın çok faktörlü kimlik doğrulamayı kapatma, kimlik bilgilerini ve diğer verileri çıkarma ve RCE elde etme gibi çeşitli kötü amaçlı eylemler gerçekleştirmesini sağlıyor. Bunların hepsi Backup & Replication 12.2’de (derleme 12.2.0.334) düzeltildi ve kullanıcılar yamaları mümkün olan en kısa sürede uygulamalıdır.
Veeam ayrıca, Nutanix AHV, Oracle Linux Virtualization ve Red Hat Virtualization için Veeam Agent for Linux, Veeam ONE, Veeam Service Provider Console ve Veeam Backup eklentilerindeki kusurlara yönelik düzeltmeler yayınladı.