Veeam ได้ออกแพตช์อัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ critical ใน Backup & Replication ซึ่งสามารถถูกโจมตีเพื่อเข้าควบคุม และรันโค้ดที่เป็นอันตรายจากระยะไกล (RCE) บนเซิร์ฟเวอร์สำรองข้อมูลที่อยู่ในโดเมนได้
ช่องโหว่ CVE-2026-44963 ถูกรายงานโดย Sina Kheirkhah นักวิจัยด้านความปลอดภัยของ WatchTowr ส่งผลกระทบต่อ Veeam Backup & Replication (VBR) เวอร์ชัน 12.3.2.4465 และเวอร์ชัน 12 ก่อนหน้าทั้งหมด และได้รับการแก้ไขแล้วในเวอร์ชัน 12.3.2.4854 ถึงแม้ผู้ใช้จะมีเพียงสิทธิ์ต่ำในโดเมนก็สามารถโจมตีผ่านช่องโหว่นี้ได้ แต่ช่องโหว่นี้จะส่งผลกระทบเฉพาะกับระบบ Veeam Backup & Replication ที่มีการเชื่อมต่อกับโดเมนเท่านั้น
Veeam ระบุในประกาศแจ้งเตือนเมื่อวันอังคารที่ผ่านมาว่า "พบช่องโหว่ที่ทำให้มีการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) บนเซิร์ฟเวอร์สำรองข้อมูลโดยผู้ใช้ในโดเมนที่ผ่านการยืนยันตัวตนแล้ว"
"ช่องโหว่นี้ไม่มีผลกระทบต่อ Veeam Backup & Replication เวอร์ชัน 13 เนื่องจากมีการเปลี่ยนแปลงโครงสร้างระบบใหม่ตั้งแต่เวอร์ชัน 13 เป็นต้นไป"
อย่างไรก็ตาม หลายบริษัทได้เชื่อมต่อเซิร์ฟเวอร์ Veeam เข้ากับโดเมน Windows ซึ่งเป็นการเพิกเฉยต่อแนวทางปฏิบัติที่ Veeam ได้แนะนำมาอย่างยาวนาน
แม้ว่าจะยังไม่มีรายงานการโจมตีที่เกิดขึ้นจริง แต่ Veeam เตือนว่า ผู้โจมตีมักจะเริ่มพัฒนาเครื่องมือเจาะระบบทันทีที่มีการปล่อยแพตช์อัปเดตความปลอดภัยออกมา
บริษัทระบุเพิ่มเติมว่า "สิ่งสำคัญที่ต้องตระหนักคือ เมื่อมีการเปิดเผยช่องโหว่ และแพตช์แก้ไขที่เกี่ยวข้องออกไป เหล่าผู้โจมตีก็มักจะพยายามทำการถอดรหัสตัวแพตช์นั้น เพื่อหาทางโจมตีซอฟต์แวร์ของ Veeam ที่ยังไม่ได้ทำการอัปเดต" "ความจริงข้อนี้เน้นย้ำถึงความสำคัญอย่างยิ่งที่จะตรวจสอบให้แน่ใจว่าลูกค้าทุกรายได้ใช้งานซอฟต์แวร์เวอร์ชันล่าสุด และติดตั้งอัปเดต และแพตช์ทั้งหมดในทันที"
Veeam มักตกเป็นเป้าหมายในการโจมตีด้วยแรนซัมแวร์
กลุ่มแรนซัมแวร์เคยเปิดเผยกับ BleepingComputer ว่า พวกเขามักจะโจมตีเซิร์ฟเวอร์สำรองข้อมูลของ Veeam เพราะเซิร์ฟเวอร์นี้ช่วยให้พวกเขาสามารถขโมยข้อมูลสำคัญ และโจมตีต่อไปภายในเครือข่ายที่ถูกเจาะระบบได้ และยังขัดขวางการกู้คืนโดยการลบข้อมูลสำรองของเหยื่อทิ้ง
ในช่วงไม่กี่ปีที่ผ่านมา หน่วยงานความมั่นคงทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้แจ้งเตือนเกี่ยวกับช่องโหว่ของ Veeam Backup & Replication จำนวน 4 รายการ ที่ถูกนำไปใช้ในการโจมตีจริง โดยกลุ่มแรนซัมแวร์ได้ใช้ประโยชน์จากช่องโหว่เหล่านี้
ตัวอย่างเช่น ในเดือนพฤศจิกายน 2024 Sophos X-Ops รายงานว่า ช่องโหว่ RCE ระดับ Critical อีกช่องโหว่หนึ่งของ VBR (CVE-2024-40711) ถูกนำไปใช้ในการโจมตีโดยกลุ่มแรนซัมแวร์หลายกลุ่ม รวมถึงกลุ่ม Akira, Fog และ Frag
กลุ่ม FIN7 ที่เป็นกลุ่มผู้โจมตีที่มีเป้าหมายทางด้านการเงิน ก็มักจะร่วมมือกับกลุ่มแรนซัมแวร์ Maze, Egregor, Conti, REvil และ BlackBasta รวมถึงกลุ่มแรนซัมแวร์ Cuba ก็มีส่วนเกี่ยวข้องกับการโจมตีช่องโหว่ด้านความปลอดภัยของ VBR เช่นกัน
โดยปัจจุบันผลิตภัณฑ์ของ Veeam มีผู้ใช้งานมากกว่า 550,000 รายทั่วโลก รวมถึง 82% ของบริษัทในกลุ่ม Fortune 500 และ 74% ของบริษัทในกลุ่ม Global 2,000
ที่มา : Bleepingcomputer
You must be logged in to post a comment.