Conclusiones clave Se descubrió una vulnerabilidad crítica, CVE-2024-40711, en Veeam Backup & Replication, que permite la ejecución remota de código no autenticado. CVE-2024-40711 tiene una puntuación CVSS de 9,8, lo que indica una necesidad urgente de remediación debido a su gravedad. Los actores de amenazas están explotando activamente esta vulnerabilidad para implementar el ransomware Akira y Fog. Veeam emitió actualizaciones de seguridad para abordar estas vulnerabilidades a principios de septiembre de 2024. Varios productos de Veeam también se vieron afectados por diferentes vulnerabilidades, incluidos Veeam Backup & Replication, Veeam ONE y Veeam Agent para Linux, entre otros. Se insta a las organizaciones a implementar protocolos de actualización periódica, mejorar el monitoreo y desarrollar planes de respuesta a incidentes para mitigar los riesgos. Descripción general Los actores de amenazas han aprovechado una vulnerabilidad crítica reciente en Veeam Backup & Replication para implementar el ransomware Akira y Fog. Esta vulnerabilidad, designada como CVE-2024-40711, tiene una calificación de 9,8 sobre 10,0 en la escala del Sistema de puntuación de vulnerabilidad común (CVSS), lo que destaca su naturaleza grave. Veeam abordó esta falla de seguridad en la versión 12.2 de Backup & Replication, lanzada a principios de septiembre de 2024. Florian Hauser, un investigador de seguridad de CODE WHITE con sede en Alemania, descubrió la vulnerabilidad y la informó a Veeam. Hauser enfatizó la urgencia de aplicar parches a los sistemas y afirmó: “¡Es mejor parchear sus servidores Veeam Backup & Replication! Adquisición completa del sistema a través de CVE-2024-40711, descubierto por nuestro propio @frycos; esta vez no proporcionamos detalles técnicos porque las bandas de ransomware podrían abusar de esto instantáneamente”. La explotación de esta vulnerabilidad ha generado preocupaciones de seguridad. En un ataque reciente vinculado al ransomware Fog, los actores de amenazas lograron implementar el ransomware en un servidor Hyper-V desprotegido. Durante la misma operación, utilizaron la utilidad rclone para filtrar datos confidenciales. Sin embargo, se informó que otros intentos de implementar ransomware no tuvieron éxito. Los intentos de explotación detectados por la detección de endpoints de Sophos utilizaron puertas de enlace VPN comprometidas que carecían de autenticación multifactor (MFA) para explotar Veeam en el puerto 8000, ampliamente expuesto, lo que provocó que Veeam.Backup.MountService.exe iniciara net.exe. El exploit crea una cuenta local, «punto», y la agrega a los grupos locales de Administradores y Usuarios de Escritorio remoto. Parches oportunos y asesoramiento Veeam tomó medidas inmediatas al revelar la vulnerabilidad y publicar actualizaciones de seguridad el 4 de septiembre de 2024. Después de esto, watchTowr Labs publicó un análisis técnico de las vulnerabilidades el 9 de septiembre de 2024. En particular, retrasaron la publicación de la prueba de -concepto de código de explotación hasta el 15 de septiembre de 2024, para dar a los administradores el tiempo suficiente para proteger sus sistemas. Dado su uso generalizado, los productos de Veeam son un objetivo principal para los actores maliciosos que buscan un acceso rápido a los datos de respaldo, lo que enfatiza la necesidad de una remediación oportuna. Además, según un aviso de Cyble, CVE-2024-40711 es solo una de varias vulnerabilidades que afectaron a los productos Veeam. El aviso de Cyble publicó un resumen de las últimas vulnerabilidades y parches de varios proveedores, centrándose en los siguientes CVE vinculados a Veeam: CVE-2024-40711: Crítico, puntuación CVSS 9,8, que permite la ejecución remota de código no autenticado. CVE-2024-40713: Gravedad alta. CVE-2024-40710: gravedad alta. CVE-2024-39718: Gravedad media. CVE-2024-40714: Gravedad alta. CVE-2024-40712: Gravedad media. CVE-2024-40709: Gravedad media. CVE-2024-42024: Gravedad media. CVE-2024-42019: Gravedad media. CVE-2024-42023: Gravedad media. CVE-2024-42021: Gravedad media. CVE-2024-42022: Gravedad media. CVE-2024-42020: Gravedad media. CVE-2024-38650: Gravedad media. CVE-2024-39714: Gravedad media. CVE-2024-39715: Gravedad media. CVE-2024-38651: Gravedad media. CVE-2024-40718: Gravedad media. Las vulnerabilidades afectan principalmente a varios productos de Veeam, lo que plantea importantes riesgos de seguridad. Entre ellos se encuentra Veeam Backup & Replication, que se utiliza ampliamente para la protección de datos y la recuperación ante desastres. Además, Veeam Agent para Linux se ve afectado, así como Veeam ONE, que proporciona monitoreo y análisis para operaciones de respaldo. Además, Veeam Service Provider Console está incluida en la lista de productos vulnerables, junto con Veeam Backup para Nutanix AHV. Por último, Veeam Backup para Oracle Linux Virtualization Manager y Red Hat Virtualization también enfrentan estos problemas de seguridad. Las organizaciones que utilizan cualquiera de estos productos deben tomar medidas inmediatas para proteger sus sistemas contra una posible explotación. Detalles técnicos de CVE-2024-40711 CVE-2024-40711 está clasificada como una vulnerabilidad de ejecución remota de código, lo que permite a atacantes no autenticados enviar una carga maliciosa que puede llevar a una toma completa del sistema. Las versiones de software afectadas incluyen Veeam Backup & Replication 12.1.2.172 y todas las versiones anteriores. Durante una investigación, el escáner ODIN de Cyble identificó aproximadamente 2.466 instancias de Veeam Backup expuestas a Internet, predominantemente en los Estados Unidos. La vulnerabilidad CVE-2024-40711 no es un incidente aislado. El 7 de marzo de 2023, Veeam parchó otra vulnerabilidad de alta gravedad, CVE-2023-27532, que fue explotada en ataques vinculados al grupo de amenazas FIN7 con motivación financiera, conocido por sus conexiones con varias operaciones de ransomware, incluidas Conti, REvil, Maze, Egregor. y BlackBasta. Recomendaciones y mitigaciones A continuación se presentan varias estrategias de mitigación y recomendación para abordar las vulnerabilidades en los productos Veeam: Asegúrese de que los últimos parches lanzados por Veeam se implementen de inmediato para abordar las vulnerabilidades críticas. Cree un cronograma de rutina para actualizaciones periódicas en todos los productos Veeam para mantener la seguridad y el cumplimiento. Realice periódicamente evaluaciones y auditorías de seguridad para identificar y remediar posibles vulnerabilidades en sus sistemas. Aísle los productos Veeam de Internet siempre que sea posible para reducir la superficie de ataque y minimizar la exposición a amenazas potenciales. Aplique MFA para acceder a las interfaces de administración de Veeam para agregar una capa adicional de seguridad contra el acceso no autorizado. Utilice herramientas de monitoreo integrales para detectar actividades sospechosas y posibles intentos de explotación en tiempo real. Establecer y actualizar periódicamente un plan de respuesta a incidentes que incluya procedimientos para identificar, responder y recuperarse de incidentes de seguridad. Evalúe cualquier herramienta o integración de terceros utilizada con los productos Veeam para asegurarse de que no introduzcan vulnerabilidades adicionales. Conclusión Los productos de Veeam, utilizados por más de 550.000 clientes en todo el mundo, incluido el 74% de las empresas Global 2000, representan un riesgo peligroso si no se protegen adecuadamente. Las organizaciones que confían en las soluciones de Backup & Replication de Veeam deben actuar con rapidez para aplicar los parches necesarios y proteger sus defensas contra posibles ataques de ransomware. Relacionado