Ciberseguridad 360 | Ransomware Akira y Fog explotan vulnerabilidad crítica RCE de Veeam

Los grupos de ransomware ahora explotan una vulnerabilidad de seguridad cr�tica que permite a los atacantes obtener la ejecuci�n remota de c�digo (RCE) en servidores vulnerables de Veeam Backup & Replication (VBR).

El investigador de seguridad de Code White Florian Hauser descubri� que el fallo de seguridad, ahora rastreado como CVE-2024-40711, est� causado por una debilidad en la deserializaci�n de datos no confiables que los actores de amenazas no autenticados pueden explotar en ataques de baja complejidad.

Veeam revel� la vulnerabilidad y public� actualizaciones de seguridad el 4 de septiembre, mientras que watchTowr Labs public� un an�lisis t�cnico el 9 de septiembre. Sin embargo, watchTowr Labs retras� la publicaci�n del c�digo de prueba de concepto del exploit hasta el 15 de septiembre para dar a los administradores tiempo suficiente para proteger sus servidores.

El retraso se debe a que las empresas utilizan el software VBR de Veeam como soluci�n de protecci�n de datos y recuperaci�n ante desastres para realizar copias de seguridad, restaurar y replicar m�quinas virtuales, f�sicas y en la nube.

Esto lo convierte en un objetivo muy popular para los actores maliciosos que buscan un acceso r�pido a los datos de copia de seguridad de una empresa.

Tal y como descubrieron los equipos de respuesta a incidentes de Sophos X-Ops el mes pasado, el fallo CVE-2024-40711 RCE se detect� r�pidamente y se explot� en los ataques de ransomware Akira y Fog junto con credenciales previamente comprometidas para a�adir una cuenta local "punto" a los grupos locales Administradores y Usuarios de Escritorio Remoto.

"En un caso, los atacantes lanzaron el ransomware Fog. Otro ataque en el mismo periodo de tiempo intent� desplegar el ransomware Akira. Los indicadores en los 4 casos se solapan con ataques anteriores de ransomware Akira y Fog", dijo Sophos X-Ops.

"En cada uno de los casos, los atacantes accedieron inicialmente a los objetivos utilizando puertas de enlace VPN comprometidas sin autenticaci�n multifactor habilitada. Algunas de estas VPN ejecutaban versiones de software no compatibles".

"En el incidente del ransomware Fog, el atacante lo despleg� en un servidor Hyper-V desprotegido y luego utiliz� la utilidad rclone para exfiltrar datos".

Veeam objeto de ataques de ransomware

El a�o pasado, el 7 de marzo de 2023, Veeam tambi�n parche� una vulnerabilidad de alta gravedad en el software Backup & Replication (CVE-2023-27532) que puede ser explotada para vulnerar hosts de infraestructuras de backup.

Semanas m�s tarde, a finales de marzo, la empresa finlandesa de ciberseguridad y privacidad WithSecure detect� exploits CVE-2023-27532 desplegados en ataques vinculados al grupo de amenazas FIN7, con motivaciones financieras, conocido por sus v�nculos con las operaciones de ransomware Conti, REvil, Maze, Egregor y BlackBasta.

Meses despu�s, el mismo exploit VBR de Veeam se utiliz� en ataques de ransomware en Cuba contra infraestructuras cr�ticas estadounidenses y empresas de TI latinoamericanas.

Veeam afirma que sus productos son utilizados por m�s de 550.000 clientes en todo el mundo, incluyendo al menos el 74% de todas las empresas Global 2.000.

Fuente: bleepingcomputer