La vulnérabilité critique CVE-2024-40711 sur les serveurs Veeam Backup & Replication est activement exploitée par les ransomware Akira et Fog. Malgré la publication des correctifs par Veeam, de nombreuses entreprises restent vulnérables, laissant la porte ouverte à des incidents de sécurité.
Une vulnérabilité critique exploitée par les cybercriminels
Une faille de sécurité majeure, identifiée sous la référence CVE-2024-40711, met en péril les serveurs Veeam Backup & Replication (VBR), utilisés par de nombreuses entreprises pour la sauvegarde et la récupération de données. Découverte par Florian Hauser, chercheur en sécurité chez Code White, cette vulnérabilité permet l’exécution de code à distance (RCE) sur les serveurs vulnérables. La faille résulte d’une désérialisation de données non fiables, pouvant être exploitée par des acteurs malveillants non authentifiés dans des attaques à faible complexité.
Une attaque par désérialisation permet à un attaquant de manipuler des données non vérifiées, envoyées à une application qui les traite en objets internes. Lorsque ces objets sont utilisés, des commandes malveillantes peuvent être exécutées. C’est ce processus qui est en jeu ici, avec Veeam.Backup.MountService.exe.
Veeam a officiellement révélé cette vulnérabilité et a publié des correctifs de sécurité le 4 septembre 2024. Cependant, la menace est réelle, car de nombreuses entreprises utilisant cette solution n’ont pas encore appliqué ces correctifs, laissant ainsi leurs systèmes exposés. La vulnérabilité CVE-2024-40711 est classée sévérité critique (score CVSS v3.1 : 9.8), ce qui la positionne comme alarmante en raison de la facilité d’exploitation par des attaquants non authentifiés. Les cybercriminels ont rapidement tiré parti de cette situation, exploitant cette faille pour mener des attaques avec les ransomwares Akira et Fog.
Akira et Fog : deux ransomwares profitant de la faille CVE-2024-40711
Les gangs de ransomwares Akira et Fog ont été parmi les premiers à exploiter activement cette vulnérabilité. D’après les enquêteurs de Sophos X-Ops, ces attaques se sont multipliées ces dernières semaines, les attaquants utilisant des identifiants compromis pour créer un compte local appelé « point », puis ajoutant ce compte aux groupes Administrateurs locaux et Utilisateurs du Bureau à distance.
Sophos a précisé dans un message sur infosec.exchange :
« A chaque fois, les attaquants ont exploité VEEAM sur l’URI /trigger sur le port 8000, déclenchant le Veeam.Backup.MountService.exe pour produire net.exe. L’exploit crée un compte local, « point », et l’ajoute aux groupes Administrateurs locaux et Utilisateurs de bureau à distance. Dans l’incident du ransomware Fog, l’attaquant l’a déployé sur un serveur Hyper-V non protégé, puis a utilisé l’utilitaire rclone pour exfiltrer les données. »
L’exploitation de cette vulnérabilité se fait donc principalement via l’interface exposée sur le port 8000, permettant aux attaquants de compromettre les services de sauvegarde et d’utiliser des outils comme net.exe, qui est un utilitaire Windows destiné à la gestion des utilisateurs et des services réseaux, mais qui est ici abusé pour créer des comptes administrateurs.
Dans certains cas, les attaquants ont déployé le ransomware Fog, tandis que dans d’autres, ils ont tenté d’installer Akira. Les indicateurs observés lors de ces quatre incidents montrent des similitudes avec des attaques antérieures menées par ces deux ransomwares. Une technique courante observée lors de ces attaques est l’exploitation de passerelles VPN compromises, souvent sans authentification multifacteur (MFA) activée. De plus, certaines de ces passerelles VPN étaient des versions logicielles obsolètes, augmentant encore la vulnérabilité des cibles.
Dans un incident spécifique impliquant Fog, les attaquants ont ciblé un serveur Hyper-V non protégé. Après avoir infiltré le système, ils ont utilisé l’outil rclone pour exfiltrer les données avant de déclencher le ransomware. Bien que la protection des points d’extrémité et les services de réponse aux incidents de Sophos aient empêché l’installation du ransomware dans certains cas, ces incidents soulignent l’importance d’appliquer les correctifs de sécurité rapidement.
Fonctionnement détaillé de l’exploit
Selon l’analyse technique détaillée de WatchTowr Labs, l’exploitation de cette faille repose sur la désérialisation non sécurisée des données par le service Veeam.Backup.MountService.exe, accessible via le port 8000. Ce service vulnérable permet aux attaquants d’exécuter des commandes à distance sans authentification préalable. En exploitant cette faille, les cybercriminels peuvent facilement infiltrer des systèmes et créer des comptes administeurs malveillants.
Le processus Veeam.Backup.MountService.exe est central dans cette exploitation. Une fois que l’attaquant en prend le contrôle, il peut invoquer des outils tels que net.exe pour gérer les comptes utilisateurs à distance. Cet outil est abusé pour ajouter un compte malveillant aux groupes d’administrateurs et permettre ainsi un accès complet à la machine.
L’importance des correctifs de sécurité et des mesures préventives
L’exploitation rapide de la faille CVE-2024-40711 par les cybercriminels montre l’urgence pour les entreprises d’appliquer les correctifs de sécurité publiés par Veeam. Malgré la publication de ces correctifs, de nombreuses organisations n’ont pas encore sécurisé leurs systèmes, ce qui expose leurs données sensibles à un risque accru. Le délai entre la divulgation de la vulnérabilité et l’apparition des premiers exploits a été bref, avec seulement quelques jours de répit avant que les attaques ne se multiplient.
Outre l’application des correctifs, il est essentiel de sécuriser les accès VPN, en particulier les VPN obsolètes ou non sécurisés, souvent exploités dans ce type d’attaque. L’activation de l’authentification multifacteur (MFA) pour les accès distants est une autre mesure importante pour empêcher les accès non autorisés.
Historique des vulnérabilités de Veeam Backup & Replication
Ce n’est pas la première fois que le logiciel Veeam Backup & Replication est la cible d’attaques de ransomwares. En mars 2023, une autre vulnérabilité critique, répertoriée sous la référence CVE-2023-27532, avait été exploitée par des cybercriminels. Cette faille permettait d’infiltrer les hôtes de l’infrastructure de sauvegarde. L’entreprise de cybersécurité WithSecure avait observé des attaques utilisant cette vulnérabilité, impliquant notamment le groupe FIN7, connu pour ses liens avec des opérations de ransomware comme Conti, REvil, Maze, Egregor, et BlackBasta.
Quelques mois plus tard, cette même faille a été exploitée dans des attaques par ransomware Cuba, ciblant notamment les infrastructures critiques américaines ainsi que des entreprises du secteur IT en Amérique latine. Ces incidents démontrent que les cybercriminels accordent une attention particulière aux solutions de sauvegarde, souvent perçues comme des cibles de choix en raison des données sensibles qu’elles contiennent.
Dernièrement, en mai 2024 Veeam avait averti ses utilisateurs de la disponibilité d’un patch pour une faille critique de contournement d’authentification, la vulnérabilité CVE-2024-29849 permet à un attaquant de contourner l’authentification et de prendre le contrôle du système.
Conclusion : protéger ses infrastructures face à une menace croissante
Les récentes attaques exploitant la faille CVE-2024-40711 rappellent l’importance de la réactivité en matière de sécurité informatique. Les entreprises utilisant des solutions Veeam Backup & Replication doivent s’assurer de maintenir leurs systèmes à jour, appliquer les correctifs de sécurité dès leur disponibilité et renforcer les mesures de protection, telles que l’authentification multifacteur pour les accès distants.
Retard volontaire de la publication du PoC : Notons que WatchTowr Labs a volontairement retardé la publication de la preuve de concept (PoC) jusqu’au 15 septembre 2024 pour laisser le temps aux entreprises de patcher leurs infrastructures avant qu’une vague d’attaques massives ne soit déclenchée.
En l’absence de ces précautions, les organisations s’exposent non seulement à des attaques par ransomware, mais aussi à des violations de données potentiellement catastrophiques. La rapidité avec laquelle les groupes comme Akira et Fog ont exploité cette vulnérabilité démontre une fois de plus que la cybersécurité doit être une priorité absolue pour les entreprises utilisant des infrastructures de sauvegarde critiques.
Sources et analyses (en anglais) :
Akira and Fog ransomware now exploit critical Veeam RCE flaw (Bleeping computer)
Veeam Backup & Response – RCE With Auth, But Mostly Without Auth (CVE-2024-40711) (WatchTowr Labs)
