勒索軟件團伙現(xiàn)在利用一個關鍵的安全漏洞，讓攻擊者在易受攻擊的 Veeam Backup & Replication (VBR) 服務器上獲得遠程代碼執(zhí)行 (RCE)。

Code White安全研究員Florian Hauser發(fā)現(xiàn)，該安全漏洞（現(xiàn)在被追蹤為CVE-2024-40711）是由未受信任數(shù)據(jù)的反序列化弱點引起的，未經(jīng)認證的威脅行為者可以利用該漏洞進行低復雜度攻擊。

Veeam 于 9 月 4 日披露了該漏洞并發(fā)布了安全更新，而 watchTowr Labs 則于 9 月 9 日發(fā)布了一份技術分析報告。不過，watchTowr Labs 將概念驗證利用代碼的發(fā)布時間推遲到了 9 月 15 日，以便管理員有足夠的時間確保服務器安全。

企業(yè)將 Veeam 的 VBR 軟件作為數(shù)據(jù)保護和災難恢復解決方案，用于備份、恢復和復制虛擬機、物理機和云計算機，從而導致了這一延遲。這也使其成為惡意行為者尋求快速訪問公司備份數(shù)據(jù)的熱門攻擊目標。

正如 Sophos X-Ops 事件響應人員在上個月發(fā)現(xiàn)的那樣，CVE-2024-40711 RCE 漏洞很快被發(fā)現(xiàn)，并在 Akira 和 Fog 勒索軟件攻擊中被利用，與之前泄露的憑證一起，向本地管理員和遠程桌面用戶組添加“點”本地帳戶。

在一個案例中，攻擊者投放了Fog勒索軟件。同一時間段的另一起攻擊則試圖部署 Akira 勒索軟件。Sophos X-Ops表示：所有4起案件中的跡象都與早期的Akira和Fog勒索軟件攻擊重疊。

在每起案件中，攻擊者最初都是使用未啟用多因素身份驗證的受損 VPN 網(wǎng)關訪問目標。其中一些 VPN 運行的是不支持的軟件版本。

在Fog勒索軟件事件中，攻擊者將其部署到未受保護的Hyper-V服務器上，然后使用實用程序rclone外泄數(shù)據(jù)。

這并非勒索軟件攻擊針對的首個Veeam漏洞

去年，即 2023 年 3 月 7 日，Veeam 還修補了備份與復制軟件中的一個高嚴重性漏洞（CVE-2023-27532），該漏洞可被利用來入侵備份基礎架構主機。

幾周后的3月下旬，芬蘭網(wǎng)絡安全和隱私公司W(wǎng)ithSecure發(fā)現(xiàn)CVE-2023-27532漏洞部署在與FIN7威脅組織有關的攻擊中，F(xiàn)IN7威脅組織因與Conti、REvil、Maze、Egregor和BlackBasta勒索軟件行動有關而聞名。

幾個月后，同樣的Veeam VBR漏洞被用于古巴針對美國關鍵基礎設施和拉美IT公司的勒索軟件攻擊。

Veeam表示，其產(chǎn)品已被全球超過55萬家客戶使用，其中包括至少74%的全球2000強企業(yè)。