Rászálltak a Veeam-hibára a támadók

​Egyre több olyan támadásra derül fény, amelyek a Veeam adatmentő szoftverének egyik biztonsági hibáját használják ki a károkozásokhoz.
 

A Veeam Backup and Replication (VBR) szoftver az egyik legszélesebb körben ismert, biztonsági mentésekre alkalmas szoftvernek számít. A vállalati és intézményi körökben egyaránt használt alkalmazásban feltárt biztonsági hibák ezért a kiberbűnözők körében is nagy érdeklődésre tartanak számot, amit a szoftver legutóbb felfedezett sebezhetősége is jól megmutatott.
 
A Veeam Software március 7-én számolt be arról, hogy a VBR egy súlyos sérülékenységet tartalmaz. A fejlesztők akkor elérhetővé tették a biztonsági rés befoltozásához szükséges patch-et. Március 23-án aztán a Horizon3 (pentestekkel foglalkozó) cég a szóban forgó, CVE-2023-27532 azonosítóval ellátott sérülékenységhez bemutatott egy exploitot, amivel demonstrálta, hogy egy nem megfelelően védett API végponton keresztül hitelesítő adatok válhatnak hozzáférhetővé titkosítatlan formában. Ezt követően mindössze 5 napra volt szükség ahhoz, hogy a kiberbűnözők lépjenek, hiszen március 28-án be is következett az első olyan (ismert) támadás, amely ezt a biztonsági hibát használta ki.
 
Azóta a VBR-hibát kiaknázó támadások tovább folytatódtak. A Huntress Labs egy korábbi kimutatása szerint legalább 7500 olyan VBR szerver érhető el az internet felől, amelyek sebezhetők lehetnek a fenti károkozásokkal szemben, vagyis sajnos még bőven akad célpont.
 
A sérülékenység kapcsán a WithSecure biztonsági cég is megszólalt, és közölte, hogy az eddigi vizsgálatok szerint a támadások a 9401-es TCP-porton keresztül indulnak. Ezt követően a támadók PowerShell scriptek használatával hátsó kaput telepítenek a kiszemelt rendszerre, majd emelt jogosultsági szinten különféle műveleteket hajtanak végre. Lehetőségük van adatszivárogtatásra, kártékony programok telepítésére, hálózatok feltérképezésére, Veeam adatbázisokhoz való hozzáférésre, de akár zsarolóvírusokkal történő visszaélésekre is.  
 
A WithSecure a Veeam Backup and Replication szoftver frissítését javasolta. Emellett a VBR kiszolgálókhoz történő hozzáféréskezelés megerősítése is indokolt lehet. Továbbá e kiszolgálók internettől való – lehetőségek szerinti – izolálása is segíthet a kockázatok csökkentésében.