La vulnerabilidad crítica CVE-2024-40711 en los servidores Veeam Backup & Replication está siendo explotada activamente por los ransomware Akira y Fog. A pesar de la publicación de parches por parte de Veeam, muchas empresas siguen siendo vulnerables, dejando la puerta abierta a incidentes de seguridad.
Una vulnerabilidad crítica explotada por los ciberdelincuentes
Una importante vulnerabilidad de seguridad, identificada como CVE-2024-40711, está poniendo en peligro los servidores Veeam Backup & Replication (VBR), utilizados por muchas empresas para el backup y la recuperación de datos. Descubierta por Florian Hauser, investigador de seguridad de Code White, esta vulnerabilidad permite laejecución remota de código (RCE) en servidores vulnerables. El fallo es el resultado de una deserialización de datos no fiable, que puede ser explotada por actores maliciosos no autenticados en ataques de baja complejidad.
Un ataque de deserialización permite a un atacante manipular datos no verificados enviados a una aplicación que los procesa en objetos internos. Cuando se utilizan estos objetos, se pueden ejecutar comandos maliciosos. Este es el proceso en juego aquí, con Veeam.Backup.MountService.exe.
Veeam reveló oficialmente esta vulnerabilidad y lanzó parches de seguridad el 4 de septiembre de 2024. Sin embargo, la amenaza es real, ya que muchas empresas que utilizan esta solución aún no han aplicado estos parches, dejando sus sistemas expuestos. La vulnerabilidad CVE-2024-40711 está clasificada como de gravedad crítica (puntuación CVSS v3.1: 9,8), lo que la hace alarmantemente fácil de explotar por atacantes no autenticados. Los ciberdelincuentes no han tardado en aprovecharse de esta situación, explotando el fallo para llevar a cabo ataques con los ransomware Akira y Fog.
Akira y Fog: dos ransomwares que se aprovechan del fallo CVE-2024-40711
Las bandas de ransomware Akira y Fog fueron de las primeras en explotar activamente esta vulnerabilidad. Según los investigadores de Sophos X-Ops, estos ataques han aumentado en número en las últimas semanas, con atacantes que utilizan credenciales comprometidas para crear una cuenta local llamada «dot», y luego añaden esta cuenta a los grupos de Administradores Locales y Usuarios de Escritorio Remoto.
Sophos dijo en un post en infosec.exchange:
«En cada ocasión, los atacantes explotaron VEEAM en el /trigger URI en el puerto 8000, activando el Veeam.Backup.MountService.exe para producir net.exe. El exploit crea una cuenta local, «point», y la añade a los grupos Local Administrators y Remote Desktop Users. En el incidente del ransomware Fog, el atacante lo desplegó en un servidor Hyper-V desprotegido y luego utilizó la utilidad rclone para exfiltrar los datos».
Por tanto, la explotación de esta vulnerabilidad se realiza principalmente a través de la interfaz expuesta en el puerto 8000, lo que permite a los atacantes comprometer los servicios de copia de seguridad y utilizar herramientas como net.exe, que es una utilidad de Windows diseñada para gestionar usuarios y servicios de red, pero de la que se abusa aquí para crear cuentas de administrador.
En algunos casos, los atacantes desplegaron el ransomware Fog, mientras que en otros intentaron instalar Akira. Los indicadores observados en estos cuatro incidentes muestran similitudes con ataques anteriores llevados a cabo por estos dos ransomwares. Una técnica común observada en estos ataques es la explotación de pasarelas VPN comprometidas, a menudo sin la autenticación multifactor (MFA) habilitada. Además, algunas de estas puertas de enlace VPN eran versiones de software obsoletas, lo que aumentaba aún más la vulnerabilidad de los objetivos.
En un incidente concreto relacionado con Fog, los agresores atacaron un servidor Hyper-V desprotegido. Tras infiltrarse en el sistema, utilizaron la herramienta rclone para extraer los datos antes de activar el ransomware. Aunque los servicios de protección de puntos finales y respuesta a incidentes de Sophos impidieron la instalación del ransomware en algunos casos, estos incidentes ponen de relieve la importancia deaplicar rápidamente los parches de seguridad.
Funcionamiento detallado del exploit
Según el análisis técnico detallado de WatchTowr Labs, la explotación de este fallo se basa en la deserialización insegura de datos por parte del servicio Veeam.Backup.MountService.exe, accesible a través del puerto 8000. Este servicio vulnerable permite a los atacantes ejecutar comandos remotos sin autenticación previa. Aprovechando esta vulnerabilidad, los ciberdelincuentes pueden infiltrarse fácilmente en los sistemas y crear cuentas de administrador maliciosas.
El proceso Veeam.Backup.MountService.exe es fundamental para esta explotación. Una vez que el atacante se hace con su control, puede invocar herramientas como net.exe para gestionar cuentas de usuario de forma remota. Se abusa de esta herramienta para añadir una cuenta maliciosa a los grupos de administradores y obtener así acceso completo a la máquina.
La importancia de los parches de seguridad y las medidas preventivas
La rápida explotación del fallo CVE-2024-40711 por parte de los ciberdelincuentes demuestra la urgente necesidad de que las empresas apliquen los parches de seguridad publicados por Veeam. A pesar de la publicación de estos parches, muchas organizaciones aún no han protegido sus sistemas, exponiendo sus datos sensibles a un mayor riesgo. El tiempo transcurrido entre la revelación de la vulnerabilidad y la aparición de los primeros exploits fue breve, con apenas unos días de respiro antes de que los ataques se multiplicaran.
Además de aplicar los parches, es esencial asegurar el acceso a las redes privadas virtuales (VPN), en particular las obsoletas o inseguras, que suelen aprovecharse en este tipo de ataques. Habilitar la autenticación multifactor (MFA) para el acceso remoto es otra medida importante para evitar accesos no autorizados.
Historial de vulnerabilidades de Veeam Backup & Replication
No es la primera vez que el software Veeam Backup & Replication es objeto de ataques de ransomware. En marzo de 2023, otra vulnerabilidad crítica, catalogada como CVE-2023-27532, fue explotada por los ciberdelincuentes. Esta vulnerabilidad permitía infiltrarse en hosts de infraestructuras de copia de seguridad. La empresa de ciberseguridad WithSecure había observado ataques que utilizaban esta vulnerabilidad, en los que estaba implicado sobre todo el grupo FIN7, conocido por sus vínculos con operaciones de ransomware como Conti, REvil, Maze, Egregor y BlackBasta.
Unos meses más tarde, el mismo fallo fue explotado en ataques de ransomware en Cuba, dirigidos contra infraestructuras críticas estadounidenses y empresas de TI en América Latina. Estos incidentes demuestran que los ciberdelincuentes están prestando especial atención a las soluciones de copia de seguridad, que a menudo se consideran objetivos prioritarios debido a los datos sensibles que contienen.
Más recientemente , en mayo de 2024, Veeam advirtió a sus usuarios de la disponibilidad de un parche para una vulnerabilidad crítica de elusión de autenticación, CVE-2024-29849, que permite a un atacante eludir la autenticación y tomar el control del sistema.
Conclusión: proteger las infraestructuras ante una amenaza creciente
Los recientes ataques que aprovechan la vulnerabilidad CVE-2024-40711 recuerdan laimportancia de la capacidad de reacción en materia de seguridad informática. Las empresas que utilizan las soluciones Veeam Backup & Replication deben asegurarse de mantener sus sistemas actualizados, aplicar los parches de seguridad en cuanto estén disponibles y reforzar las medidas de protección como la autenticación multifactor para el acceso remoto.
Retraso en la publicación de la PoC: WatchTowr Labs ha retrasado deliberadamente la publicación de la prueba de concepto (PoC) hasta el 15 de septiembre de 2024 para dar tiempo a las empresas a parchear sus infraestructuras antes de que se desate una oleada de ataques masivos.
Sin estas precauciones, las organizaciones no sólo se exponen a ataques de ransomware, sino también a violaciones de datos potencialmente catastróficas. La rapidez con la que grupos como Akira y Fog han explotado esta vulnerabilidad demuestra una vez más que la ciberseguridad debe ser una prioridad absoluta para las empresas que utilizan infraestructuras de copia de seguridad críticas.
Fuentes y análisis :
Los ransomware Akira y Fog explotan ahora el fallo crítico RCE de Veeam (Bleeping computer)
