Una vulnerabilidad crítica en el software Veeam Backup & Replication, identificada como CVE-2024-40711, está siendo explotada por ciberdelincuentes para desplegar ransomware.
La vulnerabilidad, que permite la ejecución remota no autenticada de código (RCE), fue reportada por Florian Hauser con CODE WHITE Gmbh y ha sido rastreada por Sophos X-Ops MDR e Incident Response.
En el último mes, Sophos ha observado una serie de ataques que utilizan credenciales comprometidas y la vulnerabilidad CVE-2024-40711 para crear cuentas no autorizadas e intentar desplegar ransomware.
En un caso, los atacantes lanzaron con éxito el ransomware Fog en un servidor Hyper-V desprotegido, mientras que otro ataque intentó desplegar el ransomware Akira. Los indicadores de los cuatro casos coinciden con ataques anteriores de ransomware Akira y Fog.
Los atacantes accedieron inicialmente a los objetivos utilizando puertas de enlace VPN comprometidas sin autenticación multifactor habilitada, algunas de las cuales ejecutaban versiones de software no compatibles.
A continuación, explotaron la vulnerabilidad de Veeam activando Veeam.Backup.MountService.exe en la URI /trigger en el puerto 8000, que generó net.exe y creó una cuenta local llamada «point».
Esta cuenta se añadió a los grupos de usuarios locales Administradores y Escritorio remoto, lo que concedió a los atacantes acceso privilegiado al sistema.
En el incidente del ransomware Fog, los atacantes no sólo desplegaron el ransomware, sino que también utilizaron la utilidad rclone para exfiltrar datos confidenciales del sistema comprometido.
La protección de puntos finales y MDR de Sophos impidieron el despliegue de ransomware en los demás casos.
Estos incidentes ponen de relieve la importancia de parchear las vulnerabilidades conocidas, actualizar o sustituir las VPN que no sean compatibles y utilizar la autenticación multifactor para controlar el acceso remoto.
Veeam ha publicado una actualización (VBR versión 12.2.0.334) que parchea la vulnerabilidad CVE-2024-40711, y se insta encarecidamente a los administradores a que apliquen los parches inmediatamente para salvaguardar sus sistemas de la explotación.
La explotación de CVE-2024-40711 subraya la necesidad de estrategias de defensa proactivas, incluyendo actualizaciones oportunas, fuertes medidas de seguridad y monitoreo continuo de amenazas potenciales.
Se recomienda a las empresas que confían en Veeam Backup & Replication que actualicen sus sistemas y refuercen las defensas de acceso remoto para evitar ataques similares.