WithSecure araştırmacıları, kötü şöhretli bir siber suç çetesinin kurbanlarının ağlarına erişmek için Veeam Backup & Replication veri yedekleme ve kurtarma yazılımında yakın zamanda açıklanan bir güvenlik açığından yararlandığına dair kanıtları ortaya çıkardıktan sonra bir uyarı yayınladı.
CVE-2023-27532 olarak izlenen Veeam güvenlik açığı ilk olarak 7 Mart 2023’te yayınlandı. Bu güvenlik açığı, yedekleme altyapısı ağ çevresine erişen kimliği doğrulanmamış bir kullanıcının yapılandırma veritabanında depolanan şifrelenmiş kimlik bilgilerini ele geçirmesini sağlar ve bu da sonuç olarak yedekleme altyapısı ana bilgisayarlarına erişim kazanıyorlar.
Yüksek önem dereceli bir hata olarak sınıflandırılmıştır ve CVSS v3 puanı 7,5’tir. Veaam Backup & Replication, Veeam Cloud Connect, Veeam Cloud Connect for the Enterprise ve Veeam Backup & Replication Community Edition’ın Veeam.Backup.Service.exe işleminde bulunur.
WithSecure analistleri Neeraj Singh ve Mohammad Kazem Hassan Nejad, “WithSecure Intelligence, Veeam Backup & Replication yazılımı çalıştıran internete açık sunuculara karşı 2023 Mart ayının sonlarında meydana gelen saldırıları tespit etti” diye yazdı.
“Araştırmamız, bu saldırılarda kullanılan izinsiz giriş setinin FIN7 faaliyet grubuna atfedilen faaliyetlerle tutarlı olduğunu büyük bir güvenle gösteriyor. İlk erişim ve yürütme, yakın zamanda yamalı bir Veeam Backup & Replication güvenlik açığı olan CVE-2023-27532 aracılığıyla gerçekleştirilmiş olabilir.”
“Araştırmamız, bu saldırılarda kullanılan izinsiz giriş setinin FIN7 faaliyet grubuna atfedilen faaliyetlerle tutarlı olduğunu büyük bir güvenle gösteriyor. İlk erişim ve yürütmenin yakın zamanda yamalı bir Veeam Backup & Replication güvenlik açığı olan CVE-2023-27532 aracılığıyla sağlanmış olması muhtemeldir”
Neeraj Singh ve Mohammad Kazem Hassan Nejad, WithSecure
FIN7, yaklaşık üç yıl önce ödeme kartı veri hırsızlığından haraç almaya yöneldikten sonra saldırılarında BlackCat/ALPHV, BlackMatter, DarkSide ve bir zamanlar REvil dahil olmak üzere çok sayıda fidye yazılımı kullanan, üretken ve finansal olarak motive olmuş tehlikeli bir operatördür.
Grubun, İngiltere’deki kamu sektörü taşeron şirketi Capita’ya, ödeme sistemleri devi NCR’ye ve İrlanda’daki Munster Teknoloji Üniversitesi’ne yönelik gelişen soygun da dahil olmak üzere, son zamanlarda çok sayıda yüksek profilli siber saldırıyla bağlantıları olabilir. Bu yazının yazıldığı tarihte, bu izinsiz girişlerden herhangi birinin Veeam uyumluluğunun istismarını içerdiğine dair herhangi bir belirti yoktur.
28 Mart 2023’te Singh ve Nejad, Veeam Backup & Replication çalıştıran internete açık birden fazla sunucuda yedekleme örneğiyle ilgili bir SQL sunucu işleminin bellek içi indirme ve yürütme gerçekleştiren bir kabuk komutunu yürüttüğü etkinlik gördüklerini söylediler. PowerShell betiği.
FIN7’nin özellikle PowerShell betik diline düşkün olduğu biliniyor – Mandiant bir keresinde PowerShell’i çetenin “aşk dili” olarak tanımlamıştı – ve bu vesileyle, görülen PowerShell betiklerinin tüm örnekleri, doğrudan FIN7’ye atfedilen karartılmış bir yükleyici olan Powertrash’ti.
Powertrash’in kendisi, FIN7’nin orijinal olarak adını verdiği Carbanak kötü amaçlı yazılımı ve elbette her yerde bulunan Cobalt Strike gibi eski “favoriler” dahil ancak bunlarla sınırlı olmamak üzere çeşitli yükleri yürütmek için kullanılır, ancak bu sefer Diceloader (namı diğer Lizar) kullandılar ) bir yer edinmek için.
Singh ve Nejad, FIN7’nin ilk kabuk komutunu çağırmak için kullandığı kesin yöntem bilinmemekle birlikte, bir dizi faktöre dayalı olarak bunun büyük olasılıkla Veeam hatası aracılığıyla başarıldığını söyledi:
Etkilenen tüm sunucularda, internete açık SSL üzerinden Veeam Yedekleme Hizmeti ile iletişim için kullanılan 9401 numaralı açık TCP bağlantı noktası vardı ve kabuk komutu çalıştırılmadan hemen önce söz konusu bağlantı noktası üzerinden harici IP adresleriyle ağ etkinliği görüldü.
Güvenlik açığı birkaç hafta önce yamalandı ve güvenlik açığından yararlanmak için 9401 numaralı bağlantı noktasına erişim gerekiyor.
Etkilenen sunucuların hiçbiri Veeam hatasına karşı yamalanmamıştı.
23 Mart’ta, bu kampanyada görülen yürütme zincirinin aynısını içeren bir kavram kanıtı istismarı ortalıkta dolaşıyordu.
WithSecure gözlemcileri, 24 Mart’ta etkilenen sunucularda FIN7’nin riskli sunucuları bulmak için büyük ölçekli güvenlik açığı taraması yaptığına dair kanıt olabileceğine inandıkları şüpheli etkinlik gördüklerini söylediler.
İçeri girdikten sonra, FIN7’nin hedefleri hakkında veri toplamaya başlamak için bir dizi komut ve özel komut dosyası kullandığını ve Veeam yedekleme veritabanından bilgi çalmak için bir dizi SQL komutu yürüttüğünü, ayrıca saklanan kimlik bilgilerini alıp bunları yanal hareket deneyin.
Nihayetinde, bu dayanak noktalarının fidye yazılımı isabetlerine dönüşmesi olasıdır ve yama yapılmaması veya yaygın farkındalık olmaması durumunda bazıları bunu yapabilir.
Ancak Singh ve Nejad’a göre, 9401 numaralı TCP bağlantı noktasına sahip Veeam yedekleme sunucularının kamuya açık olma olasılığı, olayın kapsamının muhtemelen sınırlı olduğu anlamına geliyor.
Güvenlik açığı, Veeam Backup & Replication’ın 12 (12.0.0.1420 P20230223) ve 11a (11.0.1.1261 P20230227) yapılarıyla giderildi. Geçici bir çözüm olarak, uzaktan yedekleme altyapısı bileşenleri olmayan hepsi bir arada bir Veeam cihazı çalıştıran kullanıcılar, yamayı yükleyene kadar yedekleme sunucusu güvenlik duvarında TCP 9401 Bağlantı Noktasına yönelik harici bağlantıları engelleyebilir.