Ransomware-Gruppen Akira und Fog zielen auf ungepatchte Veeam RCE-Schwachstelle

Sicherheit (Pexels, allgemeine Nutzung)[English]Im September 2024 wurde die Schwachstelle CVE-2024-40711 in Veeam Backup & Replication bekannt und der Hersteller hat einen Patch bereitgestellt. Nun gibt es Hinweise, dass die Ransomware-Gruppen Akira und Fog RCE-Schwachstelle auf ungepatchten Veeam-Systemen mit Backup & Replication in Angriffen ausnutzen.


Anzeige

Kritische Veeam RCE-Schwachstelle CVE-2024-4071

Der Softwarehersteller Veeam hatte Anfang September 2024 eine Warnung vor einer kritischen RCE-Schwachstelle in seiner Software Backup & Replication herausgegeben. Die Schwachstelle CVE-2024-40711 ermöglicht einem nicht authentifizierten Angreifer eine Remote Code-Ausführung und wird mit einem CVSS v3.1 Score 9.8 als kritisch eingestuft.

Die (RCE) Schwachstelle war von Florian Hauser von CODE WHITE GmbH entdeckt und gemeldet worden. Betroffene Systeme sollten so schnell als möglich gepatcht werden. Ich hatte im Blog-Beitrag Veeam warnt vor kritischer RCE-Schwachstelle CVE-2024-4071 in Backup & Replication über diese und weitere Schwachstellen in Veeam-Produkten berichtet. Von Veeam stehen seit Anfang September 2024 Sicherheitsupdates für die betroffenen Produkte zur Verfügung.

Ungepatchte Veeam-Systeme im Fokus

Nun lese ich bei den Kollegen von Bleeping Computer, dass die Ransomware-Gruppen Akira und Fog damit begonnen haben, Unternehmen über die oben genannte Schwachstelle in Veeam Backup & Replication anzugreifen.

Ransomware attacks on Veeam


Anzeige

Laut den Kollegen gibt es seit dem 9. September 2024 eine technische Analyse der Schwachstelle von WatchLabs. Und es gab ein Proof of Concept (PoC) von WatchLabs, welches aber zurückgehalten wurde.

Sicherheitsexperten von Sophos (Sophos X-Ops Incident Responder) konnten bereits im September 2024 beobachten, dass die RCE-Schwachstelle CVE-2024-40711 zügig von Ransomware-Gruppen ausgenutzt wurde. Es wurde beobachtet, dass Akira und Fog zusammen mit zuvor kompromittierten Zugangsdaten die RCE-Schwachstelle CVE-2024-40711 bei Ransomware-Angriffen ausgenutzt haben.

Die Sophos-Experten geben an, dass in jedem dieser Fälle die Angreifer zunächst über kompromittierte VPN-Gateways ohne aktivierte Multifaktor-Authentifizierung auf die Ziele zugriffen. In einigen dieser VPNs liefen nicht unterstützte Softwareversionen.

Jedes Mal nutzten die Angreifer dann VEEAM über den URI /trigger auf Port 8000 aus und veranlassten die Veeam.Backup.MountService.exe die Anwensung net.exe zu starten. Der dann benutzte Exploit erstellt ein lokales Konto "point", und fügt es zu den lokalen Gruppen Administrators und Remote Desktop Users hinzu.

Bei dem Fog Ransomware-Vorfall hat der Angreifer die Ransomware auf einem ungeschützten Hyper-V-Server installiert und dann das Dienstprogramm rclone verwendet, um Daten zu exfiltrieren. Sophos Endpoint Protection und MDR verhinderten den Einsatz von Ransomware in den anderen Fällen.

Das Ganze zeigt, wie wichtig es ist, die eingesetzte Software zeitnah zu aktualisieren und Sicherheitspatches einzuspielen, um bekannte Schwachstellen zu schließen. Aktuell gehe ich aber davon aus, dass Veeam bei der Leserschaft des Blogs auf dem aktuellen Patchstand ist.


Anzeige

Dieser Beitrag wurde unter Allgemein veröffentlicht. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Ransomware-Gruppen Akira und Fog zielen auf ungepatchte Veeam RCE-Schwachstelle

  1. Tomas Jakobs sagt:

    Veeam als Single Point of Failure…. mit allen benötigten AD Credentials in seinem Vault… ganz einfach auslesbar per Powershell… nicht dass irgendjemand behauptet, das hätte man so nicht wissen können.

  2. Foegi sagt:

    .. über kompromittierte VPN-Gateways ohne aktivierte Multifaktor-Authentifizierung .. .. einigen dieser VPNs liefen nicht unterstützte Softwareversionen…

    Ich würde sagen diese Firmen haben noch ganz andere Probleme als ein nicht aktualisiertes Veeam Produkt.

  3. Maddinni sagt:

    Wow, was für ein CVE, das ist bestimmt schon fast eine 9.99. Wer sein Veeam-System offen über bereits kompromittierte VPNs zugänglich macht (und auch aus dem restlichen LAN), der hat das nicht anders verdient.

  4. Stephan sagt:

    Was vielleicht noch erwähnenswert ist, dass Veeam mit dem Update auch ein neues Lizenzmodell für Files to Tape einführt. Ist mir aufgefallen, als mir die Infos zum Update durchgelesen habe. Ab der neues Version müssen ab 500 GB je weitere 500 GB lizenziert werden.
    Punk 9 unter System Requirements:
    https://helpcenter.veeam.com/docs/backup/vsphere/upgrade_vbr_byb.html?ver=120
    Ich finde Veeam Klasse, aber diese Lizenzanpassung durch die Hintertür…naja…

  5. Daniel A. sagt:

    Diese Lizenzanpassung für File-to-Tape kam aber schon früher (mit der 12.0, wenn ich mich recht erinnere) und nicht erst mit dem jetzigen Patch für die 12.2.
    Wer also schon in der V12 ist für den ändert sich lizenztechnisch nichts.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.