NHS England ha publicado una alerta relacionada con una vulnerabilidad crítica de Veeam Backup & Replication que ahora está siendo explotada activamente por grupos de ransomware. La explotación exitosa de la vulnerabilidad (CVE-2024-40711) podría conducir a la ejecución remota de código (RCE), señala la alerta. RCE podría permitir a los atacantes ejecutar código en un dispositivo remoto sin necesidad de acceso físico. La gravedad de la amenaza se ha calificado como alta, con una puntuación CVSS de 9,8. Según se informa, estos grupos están explotando CVE-2024-40711 como un exploit de segunda etapa para crear nuevas cuentas de administrador local para facilitar objetivos adicionales en redes comprometidas. Los informes advierten sobre intentos de explotación desde poco después de la divulgación oficial por parte de Veeam. Sophos X-Ops MDR e Incident Response han rastreado una serie de ataques durante el último mes que aprovecharon credenciales comprometidas y CVE-2024-40711 para crear una cuenta e implementar ransomware. La firma no señaló el objetivo de este ataque. En un caso, los atacantes lanzaron el ransomware Fog y en otro ataque se intentó implementar el ransomware Akira, según Sophos. Veeam emitió por primera vez un boletín de seguridad relacionado con esta y cuatro vulnerabilidades de alta gravedad el 4 de septiembre de 2024. El aviso del NHS destacó que las aplicaciones empresariales de respaldo y recuperación ante desastres son objetivos valiosos para los grupos de amenazas cibernéticas. Las vulnerabilidades en las aplicaciones de copia de seguridad y recuperación ante desastres suelen ser explotadas de forma natural por grupos de ransomware poco después de su divulgación oficial. “NHS Inglaterra Nacional [Cybersecurity Operations Centre] «Evaluamos la explotación de CVE-2024-40711 como muy probable que continúe», decía más tarde el aviso. La vulnerabilidad afecta a Veeam Backup & Replication 12.1.2.172. Veeam señaló que las versiones de productos no compatibles no se prueban, pero probablemente se vean afectadas y deberían considerarse vulnerables. Se ha recomendado a las organizaciones afectadas que revisen el Boletín de seguridad de Veeam y actualicen Veeam Backup & Replication a la versión 12.2 (o superior) con carácter de urgencia. Veeam Backup & Replication es una solución de protección de datos que ofrece respaldo y recuperación para entornos virtuales, físicos, de almacenamiento conectado a la red y nativos de la nube.