พบกลุ่ม Akira และ Fog Ransomware กำลังใช้ช่องโหว่ RCE ระดับ Critical ของ Veeam ในการโจมตีเป้าหมาย

พบกลุ่ม Ransomware กำลังใช้ช่องโหว่ CVE-2024-40711 ในการโจมตีเป้าหมาย ที่ทำให้สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) บนเซิร์ฟเวอร์ Veeam Backup & Replication (VBR) ที่มีช่องโหว่ได้

CVE-2024-40711 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่เกิดจากการ deserialization ของข้อมูลที่ไม่น่าเชื่อถือ ทำให้ Hacker ที่ไม่ผ่านการยืนยันตัวตนสามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ซึ่งมีความซับซ้อนต่ำ โดยช่องโหว่ถูกค้นพบโดย Florian Hauser นักวิจัยด้านความปลอดภัยของ Code White

Veeam ได้เปิดเผยช่องโหว่ดังกล่าว และเผยแพร่การอัปเดตด้านความปลอดภัยออกมาในวันที่ 4 กันยายน 2024 ในขณะที่ watchTowr Labs เผยแพร่การวิเคราะห์ทางเทคนิคในวันที่ 9 กันยายน 2024 อย่างไรก็ตาม watchTowr Labs ได้เลื่อนการเผยแพร่ชุดสาธิตการโจมตี proof-of-concept exploit code (PoC) ออกไปจนถึงวันที่ 15 กันยายน 2024 เพื่อให้ผู้ดูแลระบบมีเวลาเพียงพอในการป้องกันการโจมตีจากช่องโหว่

การเลื่อนการเผยแพร่ช่องโหว่เกิดจากการที่ธุรกิจต่าง ๆ ใช้ซอฟต์แวร์ VBR ของ Veeam เป็นโซลูชันการปกป้องข้อมูล และการกู้คืนข้อมูลสำหรับการ backing up, restoring, replicating virtual, physical และ cloud machines

Veeam เปิดเผยว่าผลิตภัณฑ์ของตนถูกใช้โดยลูกค้ากว่า 550,000 รายทั่วโลก รวมถึงบริษัทในกลุ่ม Global 2,000 อย่างน้อย 74% ทำให้กลายเป็นเป้าหมายยอดนิยมสำหรับ Hacker ที่ต้องการเข้าถึงข้อมูลสำรองของบริษัท

เช่นเดียวกับทีม Sophos X-Ops incident responders ที่พบการโจมตีโดยใช้ช่องโหว่ดังกล่าวจากกลุ่ม Akira และ Fog Ransomware เพื่อเข้าถึงข้อมูล credentials และเพิ่ม "point" local account ไปยัง local Administrators และ Remote Desktop Users group

ทั้งนี้ Hacker ทำการเข้าถึงระบบเครือข่ายของเป้าหมาย โดยโจมตี VPN gateway ที่ไม่ได้เปิด multifactor authentication และ software version ที่ไม่ได้อัปเดตแพตซ์ด้านความปลอดภัย ต่อมาก็จะส่ง Ransomware ไปยัง Hyper-V server ที่มีช่องโหว่ หลังจากนั้นจะใช้ utility rclone เพื่อขโมยข้อมูลออกไป

ไม่ใช่ช่องโหว่ Veeam รายการแรกที่ตกเป็นเป้าหมายการโจมตี

ในวันที่ 7 มีนาคม 2023 Veeam ยังได้แก้ไขช่องโหว่ระดับความรุนแรงสูงใน Backup & Replication software (CVE-2023-27532) ซึ่งสามารถนำไปใช้โจมตี backup infrastructure hosts หลังจากนั้นทาง WithSecure บริษัทด้านการรักษาความปลอดภัยทางไซเบอร์ และความเป็นส่วนตัวของฟินแลนด์ ได้ตรวจพบช่องโหว่ CVE-2023-27532 ที่กำลังถูกใช้ในการโจมตีที่มีความเชื่อมโยงกับกลุ่ม FIN7 ซึ่งเป็นกลุ่มที่มีแรงจูงใจทางด้านการเงิน ซึ่งมีความเชื่อมโยงกับกลุ่ม Conti, REvil, Maze, Egregor และ BlackBasta Ransomware

หลายเดือนต่อมา ช่องโหว่ Veeam VBR แบบเดียวกันนี้ถูกกลุ่ม Cuba Ransomware ใช้ในการโจมตีโครงสร้างพื้นฐานที่สำคัญของสหรัฐอเมริกา และบริษัทไอทีในละตินอเมริกา

ที่มา : bleepingcomputer