23/11/2024

Actu Cybersécurité

Cette faille critique dans Veeam Backup & Replication est exploitée par les ransomwares Akira et Fog !

La faille de sécurité CVE-2024-40711 présente dans Veeam Backup & Replication est désormais exploitée par deux gangs de ransomware : Akira et Fog. Faisons le point sur cette menace.

Début septembre 2024, Veeam a corrigé plusieurs failles de sécurité dans ses produits, dont la CVE-2024-40711, présente dans sa solution de sauvegarde Backup & Replication. Associée à un score CVSS v3.1 de 9.8 sur 10, un attaquant peut l'exploiter pour exécuter du code à distance sur l'instance Veeam Backup & Replication, sans être authentifié.

Cette vulnérabilité a été divulguée le 4 septembre 2024 et un code d'exploitation public a été mis en ligne par watchTowr Labs le 15 septembre 2024. Cet exploit PoC a été publié une dizaine de jours plus tard afin de laisser le temps aux administrateurs de patcher leur serveur Veeam. De son côté, Florian Hauser, chercheur en sécurité chez Code White, explique cette vulnérabilité peut être exploitée facilement par les pirates.

La CVE-2024-40711 exploitée par les ransomwares

Dans le cadre d'opérations de réponse à incident, l'équipe de Sophos X-Ops est parvenue à identifier un lien entre la CVE-2024-40711 et les gangs de ransomware Akira et Fog. "Dans un cas, les attaquants ont diffusé le ransomware Fog. Une autre attaque menée au cours de la même période a tenté de déployer le ransomware Akira. Dans les quatre cas, les indicateurs se recoupent avec ceux d'attaques antérieures par des ransomwares Akira et Fog.", peut-on lire.

Pour l'accès initial à l'infrastructure cible, les pirates ont utilisé des accès VPN compromis, sur lesquels l'authentification multifacteurs n'était pas activée. Le serveur Veeam Backup & Replication a ensuite été ciblé sur le port 8000 afin d'atteindre "Veeam.Backup.MountService.exe".

Ceci a permis à l'attaquant de créer un compte local sur la machine et de l'ajouter aux groupes "Administrateurs" et "Utilisateurs du Bureau à distance". "Dans le cas du ransomware Fog, l'attaquant l'a déployé sur un serveur Hyper-V non protégé, puis a utilisé l'utilitaire rclone pour exfiltrer des données.", peut-on lire.

Ce n'est pas la première fois que des gangs de ransomware s'attaquent à la solution Veeam Backup & Recovery. Nous pouvons notamment citer les gangs Cuba et BlackBasta ainsi que la vulnérabilité CVE-2023-27532, patchée en mars 2023.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

1 commentaire sur “Cette faille critique dans Veeam Backup & Replication est exploitée par les ransomwares Akira et Fog !

  • Merci pour l’info et salut à tous,
    En attendant l’update veeam, j’ai stoppé le service mount et je le reactive le à la demande en cas de demande de resto.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.