Una serie de vulnerabilidades en productos fabricados por el proveedor de software de copia de seguridad y recuperación Veeam, que fueron divulgadas y parcheadas el 4 de septiembre de 2024, están haciendo sonar las alarmas en la comunidad de seguridad cibernética.
El problema más urgente se centra en una de las fallas de mayor gravedad parcheadas por Veeam, rastreada como CVE-2024-40711, que es una vulnerabilidad de ejecución remota de código (RCE) en Veeam Backup & Replication.
Descubierto por el investigador Florian Hauser de Code White, tiene una puntuación CVSS crítica de 9,8. En una declaración realizada a través de la red social X, Code White dijo que no estaba dando a conocer todos los detalles técnicos del problema en este momento, debido al potencial de explotación.
De hecho, es la amenaza potencial de CVE-2024-40711 la que está causando la mayor preocupación en este momento. Según los datos publicados por los cazadores de amenazas de Censys, hay casi 3.000 servidores Veeam Backup & Replication expuestos a la Internet pública, la mayoría de ellos aparentemente ubicados en Francia y Alemania.
“Esta vulnerabilidad es particularmente preocupante porque es probable que sea explotada por operadores de ransomware para comprometer los sistemas de respaldo y potencialmente crear escenarios de doble extorsión”, dijo el equipo de Censys.
“Vulnerabilidades anteriores en Veeam Backup & Replication, como CVE-2023-27532 revelada en julio, ya han sido explotadas por grupos de ransomware como EstateRansomware, Akira, Cuba y FIN7 para acceso inicial, robo de credenciales y otras actividades maliciosas”.
El equipo de Rapid7, que también ha estado rastreando la telemetría de su red en busca de posibles casos de explotación, dijo que hasta el lunes 9 de septiembre no tenían conocimiento de ninguna actividad maliciosa centrada en CVE-2024-40711.
Sin embargo, lanzando una nota de precaución similar a sus pares, el equipo de Rapid7 dijo: “Sin embargo, Veeam Backup & Replication tiene una gran huella de implementación y varias vulnerabilidades anteriores que afectaban al software han sido explotadas en estado salvaje, incluso por grupos de ransomware”.
Según los datos de Rapid7, más del 20 % de los casos de respuesta a incidentes a los que ha respondido este año hasta la fecha han implicado el acceso o la explotación de algún elemento de Veeam, aunque normalmente esto ha tendido a ocurrir una vez que el atacante ya está presente en la víctima. ambiente.
También se revelaron otros cinco CVE en Backup & Replication, incluidos varios que permiten a un atacante que controla una cuenta con pocos privilegios llevar a cabo diversas acciones maliciosas, incluida la desactivación de la autenticación multifactor, la extracción de credenciales y otros datos, y lograr RCE. Todos están solucionados en Backup & Replication 12.2 (compilación 12.2.0.334) y los usuarios deben aplicar los parches lo antes posible.
Además, Veeam publicó correcciones para fallas en Veeam Agent para Linux, Veeam ONE, Veeam Service Provider Console y los complementos Veeam Backup para Nutanix AHV, Oracle Linux Virtualization y Red Hat Virtualization.