Af Eskil Sørensen, 03/05/23
Veeam backup-servere er angrebet af mindst én gruppe trusselsaktører, der er kendt for at arbejde med flere højprofilerede ransomware-bander. Det skriver Bleeping Computer.
Angrebet blev set første gang den 28. marts, hvilket er en lille uge efter, at en exploit blev tilgængelig for en alvorlig sårbarhed i Veeam Backup and Replication (VBR) software.
Sårbarheden har id’et CVE-2023-27532 og en CVSS-score på 7,5. Den afslører krypterede credentials, der er gemt i VBR-konfigurationen for uautoriserede brugere i backup-infrastrukturen. Dette vil kunne bruges til at få adgang til backup infrastruktur-hosts, fremgår det af Bleeping Computers artikel.
Veeam rettede sårbarheden den 7. marts og udsendte i den forbindelse vejledning i, hvordan problemet løses.
Den 23. marts udgav pentest-virksomheden Horizon3 en udnyttelse til CVE-2023-27532, som også viste, hvordan et ikke-sikret API-endpunkt kunne misbruges til at udtrække legitimationsoplysningerne i almindelig tekst. En angriber, der udnytter sårbarheden, kan også køre kode eksternt med de højeste rettigheder. På det tidspunkt, dvs. den 23. marts, advarede Huntress Labs om, at der stadig var cirka 7.500 internet-eksponerede VBR-værter, der så ud til at være sårbare.
Det er så mindst en af disse, der har været udsat for et angreb, og det er sandsynligt, at også andre VBR-værter har tiltrukket sig opmærksomhed.
Det finske cybersikkerheds- og privatlivsfirma WithSecure har i en rapport skrevet, at de angreb, de observerede i slutningen af marts, var rettet mod servere, der kørte Veeam Backup and Replication-software, der var tilgængelige via det offentlige web.