Eine Sicherheitslücke in Veeam Backup & Replication steht aktiv unter Beschuss durch Cyberkriminelle. Sophos warnt, dass das Unternehmen eine Reihe an Attacken beobachtet habe, bei denen Ransomware installiert werden sollte.
Anzeige
Auf Mastodon erörtert das IT-Sicherheitsunternehmen, dass Cyberkriminelle mit kompromittierten Zugangsdaten und einer bekannten Sicherheitslücke (CVE-2024-40711) versuchen, ein Konto auf verwundbaren Systemen anzulegen und darin Ransomware zu installieren. In einem Fall hätten die Angreifer eine Ransomware namens Frog verankert. Im gleichen Zeitraum sei bei einer weiteren Attacke versucht worden, die Akira-Ransomware zu verteilen.
Sophos hat bis zur Meldung auf Mastodon vier Angriffe auf die Sicherheitslücke beobachtet – es dürften jedoch viele nicht erkannte Angriffe auf die Schwachstelle erfolgen. In den belegten Fällen sei die Akira- und Frog-Ransomware zum Einsatz gekommen.
Initialer Zugriff auf die betroffenen Netze gelangt demnach durch kompromittierte VPN-Gateways, die keine Mehr-Faktor-Authentifizierung aktiviert hatten. Einige Gateways hätten zudem nicht mehr unterstützte Software-Versionen eingesetzt. In allen vier Fällen haben die Angreifer die URI /trigger auf dem Port 8000 der Veeam-Instanz missbraucht. Das führt dazu, dass Veeam.Backup.MountService.exe den Befehl net.exe aufruft. Der Exploit erstellt damit das lokale Konto "point" und fügt es den Gruppen der lokalen Administratoren und Remote Desktop Users hinzu.
Die IT-Sicherheitsforscher von Sophos haben einen Angreifer beoabchtet, der die Frog-Ransomware in einen ungeschützten HyperV-Server installiert und dann das Werkzeug rclone zum Exfiltrieren von Daten missbraucht hat. In den anderen Fällen habe Sophos-Software das Verankern von Ransomware verhindert. Sophos leitet aus den Vorfällen ab, dass es wichtig ist, bekannte Sicherheitslücken abzudichten sowie nicht unterstützte (VPN-)Software zu aktualisieren oder zu ersetzen und Mehr-Faktor-Authentifizierung zu aktivieren, um Fernzugriffe zu kontrollieren.
Anzeige
Anfang September hatte Veeam die Schwachstelle CVE-2024-40711, mit einem CVSS-Wert von 9.8 als "kritisches" Sicherheitsrisiko eingestuft, mit aktualisierter Software ausgebessert. Die Lücke erlaubt Angreifern ohne Nutzerkonto aus der Ferne die Ausführung eigenen Codes (Remote Code Execution, RCE). Spätestens jetzt sollten IT-Verantwortliche die Tipps von Sophos befolgen und die Software aktualisieren sowie den Status der in der Organisation eingesetzten VPN-Software überprüfen.
(
Kommentare