محققان Sophos هشدار دادهاند که هکرها بطور فعالانه در تلاش هستند تا از یک نقص امنیتی پچ شده در نرم افزار پشتیبانگیری و بازیابی اطلاعات Veeam (یا Veeam Backup & Replication) به منظور استقرار باج افزار Akira و Fog سوء استفاده کنند.
این آسیب پذیری که با شناسه CVE-2024-40711 دنبال میشود بر روی نسخه 12.1.2.172 این نرم افزار (پشتیبانگیری و بازیابی اطلاعات Veeam) و تمامی نسخههای قبلی تأثیر میگذارد.
Veeam در اوایل سپتامبر 2024، به روزرسانیهای امنیتی را برای رفع آسیب پذیریهای متعددی در محصولات خود منتشر کرد. این شرکت 18 نقص با شدت بالا و بحرانی را در محصول نرم افزار پشتیبانگیری و بازیابی اطلاعات، کنسول ارائه دهنده خدمات (Service Provider Console) و One خود برطرف کرد.
Sophos، فروشنده محصولات امنیت سایبری اعلام کرده است که در ماه گذشته مجموعهای از حملات را با استفاده از گواهیهای اعتبار VPN هک شده و آسیب پذیری بحرانی CVE-2024-40711 برای ایجاد یک اکانت لوکال در نرم افزار پشتیبانگیری و بازیابی اطلاعات Veeam و استقرار باج افزار ردیابی کرده است.
CVE-2024-40711، امکان اجرای کد از راه دور را با دسترسی احراز هویت نشده فراهم میآورد. فلوریان هاوزر، محقق امنیتی CODE WHITE در آلمان این آسیب پذیری را کشف و گزارش کرده است.
هکرها ابتدا با استفاده از گیت ویهای VPN آسیب پذیر بدون فعالسازی احراز هویت چند عاملی، به اهداف خود دسترسی پیدا کردهاند. برخی از VPNها از نسخه خارج از پشتیبانی این نرم افزار استفاده میکردند.
هکرها از URI /trigger در پورت 8000 برای ایجاد net.exe و ایجاد یک اکانت لوکال به نام “point” در Veeam سوء استفاده کردهاند و آن را به گروههای Administrators و Remote Desktop Users افزودند. هکرها در یک مورد، باج افزار Fog را بر روی سرور محافظت نشده Hyper-V مستقر کردند و از rclone برای استخراج دادهها استفاده نمودند.
این موارد بر اهمیت اصلاح به موقع آسیب پذیریهای شناخته شده، بهروزرسانی و یا جایگزینی VPNهای خارج از پشتیبانی و استفاده از مکانیزم احراز هویت چند عاملی برای کنترل دسترسی از راه دور تأکید میکنند.
