บริษัท Veeam Software ผู้ให้บริการด้านการปกป้องข้อมูล ออกแพตช์แก้ไขช่องโหว่หลายรายการในโซลูชัน Backup & Replication รวมถึงช่องโหว่ระดับ Critical ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ถึง 4 รายการ
VBR คือซอฟต์แวร์สำรอง และกู้คืนข้อมูลระดับองค์กร ที่ช่วยให้ผู้ดูแลระบบไอทีสร้างสำเนาข้อมูลที่มีความสำคัญเพื่อการกู้คืนระบบได้อย่างรวดเร็วหลังจากการถูกโจมตีทางไซเบอร์ และในกรณีที่อุปกรณ์ฮาร์ดแวร์ใช้งานไม่ได้
ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) จำนวน 3 รายการที่ได้รับการแก้ไขในวันนี้ มีหมายเลข CVE-2026-21666, CVE-2026-21667 และ CVE-2026-21669 ทำให้ผู้ใช้งานในโดเมนที่มีสิทธิ์ต่ำ สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนเซิร์ฟเวอร์สำรองข้อมูลที่มีช่องโหว่ได้ โดยใช้รูปแบบการโจมตีที่มีความซับซ้อนต่ำ
ช่องโหว่รายการที่ 4 หมายเลข CVE-2026-21708 ทำให้ผู้ที่มีสิทธิ์เพียงแค่ดูไฟล์สำรองข้อมูล สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลในฐานะผู้ใช้งานสิทธิ์ฐานข้อมูลได้
นอกจากนี้ Veeam ยังได้แก้ไขช่องโหว่ด้านความปลอดภัยที่มีระดับความรุนแรงสูงอีกหลายรายการ ซึ่งอาจถูกใช้ในเพื่อยกระดับสิทธิ์บนเซิร์ฟเวอร์ Veeam Backup & Replication บน Windows, เพื่อใช้ดึงข้อมูล SSH ที่บันทึกไว้ และหลีกเลี่ยงข้อจำกัดเพื่อจัดการไฟล์ใด ๆ บน Backup Repository ได้
ช่องโหว่เหล่านี้ถูกค้นพบระหว่างการทดสอบภายใน หรือได้รับรายงานผ่านทาง HackerOne และได้รับการแก้ไขแล้วใน Veeam Backup & Replication เวอร์ชัน 12.3.2.4465 และ 13.0.1.2067
Veeam ยังเตือนผู้ดูแลระบบให้อัปเกรดซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด เนื่องจากผู้โจมตีมักเริ่มพัฒนาช่องโหว่หลังจากมีการปล่อยแพตช์ไม่นาน
บริษัทเตือนว่า "สิ่งสำคัญที่ควรทราบคือ เมื่อมีการเปิดเผยช่องโหว่ และแพตช์ที่เกี่ยวข้องแล้ว ผู้โจมตีมักจะพยายามถอดรหัสแพตช์เพื่อโจมตีซอฟต์แวร์ Veeam ที่ยังไม่ได้ติดตั้งแพตช์ ข้อเท็จจริงนี้เน้นย้ำถึงความสำคัญอย่างยิ่งในการตรวจสอบให้แน่ใจว่าลูกค้าทุกรายใช้ซอฟต์แวร์เวอร์ชันล่าสุด และติดตั้งการอัปเดต และแพตซ์ทั้งหมดโดยทันที"
เซิร์ฟเวอร์ VBR ตกเป็นเป้าหมายของการโจมตีด้วยแรนซัมแวร์
VBR เป็นที่นิยมในหมู่ผู้ให้บริการจัดการระบบ และองค์กรขนาดกลางถึงขนาดใหญ่ แม้ว่ากลุ่มแรนซัมแวร์มักจะกำหนดเป้าหมายไปที่เซิร์ฟเวอร์ VBR เพราะสามารถใช้เป็นจุดเริ่มต้นอย่างรวดเร็วในการขยายวงการโจมตีไปยังส่วนอื่น ๆ ของเครือข่ายที่ที่ถูกบุกรุก ช่วยให้การขโมยข้อมูลทำได้ง่ายขึ้น และป้องกันการกู้คืนข้อมูลได้ง่ายโดยการลบข้อมูลสำรองของเหยื่อทิ้ง
กลุ่มแฮ็กเกอร์ FIN7 ที่มุ่งหวังผลกำไรทางการเงิน (ซึ่งก่อนหน้านี้เคยร่วมมือกับกลุ่มแรนซัมแวร์ Conti, REvil, Maze, Egregor และ BlackBasta) และกลุ่มแรนซัมแวร์ Cuba ต่างก็มีส่วนเกี่ยวข้องกับการโจมตีช่องโหว่ VBR ในอดีต
นอกจากนี้ ทีมตอบสนองทางไซเบอร์ของ Sophos X-Ops ยังเปิดเผยในเดือนพฤศจิกายน 2024 ว่า แรนซัมแวร์ Frag ได้ใช้ประโยชน์จากช่องโหว่ RCE ของ VBR อีกช่องโหว่หนึ่งที่ถูกเปิดเผยไปก่อนหน้านี้สองเดือน และยังถูกนำไปใช้ในการโจมตีด้วยแรนซัมแวร์ Akira และ Fog ตั้งแต่เดือนตุลาคม 2024 อีกด้วย
Veeam ระบุว่า ผลิตภัณฑ์ของตนมีผู้ใช้งานมากกว่า 550,000 รายทั่วโลก รวมถึง 74% ของบริษัทในกลุ่ม Global 2,000 และ 82% ของบริษัทในกลุ่ม Fortune 500
ที่มา : bleepingcomputer
You must be logged in to post a comment.