Faille critique Veeam : le ransomware Frag rejoint Akira et Fog dans l’exploitation de CVE-2024-40711

La vulnérabilité CVE-2024-40711, découverte au sein de Veeam Backup & Replication, continue de faire des ravages dans les systèmes non corrigés. Si cette faille avait déjà permis aux ransomwares Akira et Fog de lancer des attaques dévastatrices, elle est désormais exploitée par un nouveau venu, le ransomware Frag. En ciblant spécifiquement les serveurs de sauvegarde Veeam, ces acteurs malveillants démontrent, une fois de plus s’il en est besoin, l’importance d’appliquer rapidement les mises à jour de sécurité. Les entreprises doivent comprendre l’urgence de sécuriser leurs infrastructures pour éviter que ces vulnérabilités ne soient continuellement exploitées.

Les failles de sécurité de Veeam et leurs impacts

Les vulnérabilités des systèmes de sauvegarde sont devenues des cibles privilégiées pour les cybercriminels. Veeam Backup & Replication (VBR), un des outils les plus utilisés dans le monde pour la sauvegarde et la restauration de données, est désormais au centre des préoccupations de sécurité avec l’exploitation de sa faille critique CVE-2024-40711. Cette faiblesse, découverte par le chercheur Florian Hauser de Code White, exploite une désérialisation de données non fiables, permettant aux attaquants d’exécuter du code malveillant à distance.

La faille CVE-2024-40711 et ses implications pour les entreprises

La CVE-2024-40711 constitue une menace sérieuse, particulièrement pour les entreprises qui n’ont pas encore appliqué les mises à jour de sécurité publiées par Veeam le 4 septembre dernier. Cette faille permet à des acteurs malveillants d’accéder aux serveurs VBR sans authentification, leur donnant ainsi la capacité de manipuler des comptes administrateur et d’exécuter des commandes à distance sur les machines vulnérables. Les efforts de Veeam et des chercheurs en sécurité pour retarder la publication des détails techniques et des POC (proof of concept) visaient à donner du temps aux administrateurs pour sécuriser leurs infrastructures, mais les groupes de ransomware ont rapidement trouvé des moyens d’exploiter cette brèche. Les impacts pour les entreprises sont potentiellement désastreux, allant de l’exfiltration de données à la paralysie totale de leurs systèmes de sauvegarde. En raison de son exploitation dans les attaques des ransomwares Akira et Fog, cette vulnérabilité expose les entreprises qui n’ont pas fait leurs mises à jour à des risques accrus de perte de données et de perturbation de leurs activités.

Méthodes d’exploitation par les groupes Akira et Fog

Les attaques menées par les groupes Akira et Fog illustrent bien l’ingéniosité des cybercriminels pour exploiter des failles de sécurité. Ces groupes ont combiné la vulnérabilité RCE de Veeam avec des informations d’identification VPN volées pour infiltrer les serveurs et créer des comptes administratifs malveillants. L’ajout de ces comptes au groupe des utilisateurs de bureau à distance leur permet de contrôler les serveurs exposés sur Internet, rendant les systèmes de sauvegarde vulnérables à des accès non autorisés et à des attaques par ransomware. Sophos X-Ops, une organisation spécialisée dans la réponse aux incidents de sécurité, a révélé que cette méthode d’attaque permet une prise de contrôle quasi complète des serveurs VBR non sécurisés.

Nous avions récemment abordé l’exploitation de cette faille critique par les ransomwares Akira et Fog dans un article détaillant la menace que représente CVE-2024-40711 pour les serveurs Veeam Backup & Replication. En soulignant l’impact de ces vulnérabilités, cet article mettait déjà en évidence l’importance de corriger rapidement les failles pour éviter des intrusions massives. Aujourd’hui, l’arrivée du ransomware Frag confirme l’urgence d’une stratégie de sécurité proactive pour les infrastructures Veeam.

Demande de  rançon de Frag ransomware
Note de demande de rançon de Frag – Source Sophos

Frag ransomware : un nouveau venu dans la scène des cyberattaques

La vulnérabilité CVE-2024-40711 a été exploitée dans le cadre d’un ensemble d’activités malveillantes, baptisé STAC 5881 par Sophos. Récemment les analystes de Sophos X-Ops ont une fois de plus observé les tactiques associées au STAC 5881 – mais cette fois ils ont observé le déploiement d’un nouveau rançongiciel « Frag ». Frag ransomware utilise des méthodes similaires aux ransomwares Akira et Fog. Les chercheurs ont observé qu’après avoir utilisé des VPN compromis pour accéder aux systèmes et exploiter la faille de Veeam Frag crée des comptes administrateur . Ces nouveaux comptes nommés « point » et « point2 » permettent alors de contrôler les réseaux compromis. D’après Sean Gallagher Frag agit directement via la ligne de commande, avec plusieurs paramètres configurables et un pourcentage de chiffrement comme paramètre obligatoire. Ce ransomware permet aux attaquants de choisir les fichiers et répertoires à chiffrer, ajoutant l’extension .frag aux fichiers compromis. Dans un cas récent, le ransomware a été bloqué par la fonction CryptoGuard de Sophos Endpoint Protection, et une détection spécifique a été ajoutée pour ce malware.

lignes commandes Frag
Paramètres d’aide pour guider les attaquants du ransomware Frag – Source Sophos

Une des caractéristiques notables de Frag réside dans son recours aux LOLBins (Living Off The Land binaries) pour échapper aux systèmes de détection. Ces outils, tels que WinRAR ou WinSCP, sont utilisés pour exfiltrer les fichiers sans éveiller les soupçons, car ils sont déjà présents sur les réseaux cibles. Selon Agger Labs, cette méthode permet aux attaquants de se fondre dans l’activité réseau, rendant la détection encore plus difficile. Cette technique, déjà employée par Akira et Fog, témoigne de l’adaptabilité croissante des opérateurs de ransomware, qui exploitent ces logiciels de confiance pour opérer discrètement au sein des infrastructures attaquées.

Protéger son infrastructure : les mesures essentielles

Face à la gravité de cette faille et à la prolifération des ransomwares exploitant CVE-2024-40711, les entreprises doivent prioriser les mises à jour et les correctifs sur leurs serveurs VBR (Backup Server de Veeam). Une vigilance accrue est nécessaire pour détecter les activités suspectes liées aux comptes administratifs, et il est indispensable de durcir les configurations de sécurité, notamment en isolant les sauvegardes pour réduire les risques en cas de compromission. Le renforcement des accès VPN et l’authentification multifactorielle sont également des mesures clés pour limiter les accès non autorisés, en particulier pour les systèmes exposés sur Internet.

En renforçant les défenses et en restant informé des dernières menaces, les entreprises peuvent se prémunir efficacement contre les attaques de ransomware et minimiser les risques liés aux failles de sécurité.

Image de Florent Chassignol
Florent Chassignol
Attiré très jeune par l'informatique, je suis aujourd'hui Fondateur et CEO de Recoveo, leader français de la récupération de données. Vous êtes victime d'un ransomware, votre serveur est HS, votre téléphone a plongé dans la piscine ? Nous sommes là pour vous !

Partager cet article

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *