Die in Veeam Backup & Replication entdeckte Sicherheitslücke CVE-2024-40711 richtet weiterhin verheerende Schäden in ungepatchten Systemen an. Während diese Schwachstelle bereits den Ransomware-Programmen Akira und Fog zu verheerenden Angriffen verholfen hatte, wird sie nun von einem Neuling, der Ransomware Frag, ausgenutzt. Indem sie speziell auf Veeam-Backupserver abzielen, zeigen diese bösartigen Akteure, wenn nötig einmal mehr, wie wichtig es ist, Sicherheitsupdates schnell zu implementieren. Unternehmen müssen die Dringlichkeit der Sicherung ihrer Infrastrukturen verstehen, um zu verhindern, dass diese Schwachstellen ständig ausgenutzt werden.
Die Sicherheitslücken von Veeam und ihre Auswirkungen
Schwachstellen in Backup-Systemen sind zu einem beliebten Ziel für Cyberkriminelle geworden. Veeam Backup & Replication (VBR), eines der weltweit am häufigsten eingesetzten Tools für die Sicherung und Wiederherstellung von Daten, ist durch die Ausnutzung seiner kritischen Schwachstelle CVE-2024-40711 nun in den Fokus der Sicherheitsbehörden gerückt. Diese vom Code-White-Forscher Florian Hauser entdeckte Schwachstelle nutzt eine unzuverlässige Deserialisierung von Daten aus und ermöglicht es Angreifern, bösartigen Code aus der Ferne auszuführen.
Die Schwachstelle CVE-2024-40711 und ihre Auswirkungen auf Unternehmen.
CVE-2024-40711 stellt eine ernsthafte Bedrohung dar , insbesondere für Unternehmen, die die von Veeam am 4. September veröffentlichten Sicherheitsupdates noch nicht eingespielt haben. Die Sicherheitslücke ermöglicht böswilligen Akteuren den Zugriff auf VBR-Server ohne Authentifizierung, wodurch sie die Möglichkeit erhalten, Administratorkonten zu manipulieren und Befehle aus der Ferne auf anfälligen Rechnern auszuführen. Die Bemühungen von Veeam und Sicherheitsforschern, die Veröffentlichung von technischen Details und Proof of Concept (POC) hinauszuzögern, sollten Administratoren Zeit verschaffen, um ihre Infrastrukturen zu sichern, doch Ransomware-Gruppen fanden schnell Wege, diese Lücke auszunutzen. Die Auswirkungen für Unternehmen sind potenziell verheerend und reichen von der Exfiltration von Daten bis hin zur völligen Lahmlegung ihrer Backup-Systeme. Da die Sicherheitslücke bei den Angriffen der Ransomware Akira und Fog ausgenutzt wurde, sind Unternehmen, die ihre Updates nicht durchgeführt haben, einem erhöhten Risiko von Datenverlust und Geschäftsunterbrechungen ausgesetzt.
Methoden der Ausnutzung durch die Gruppen Akira und Fog
Die Angriffe der Gruppen Akira und Fog sind ein gutes Beispiel für den Einfallsreichtum von Cyberkriminellen bei der Ausnutzung von Sicherheitslücken. Diese Gruppen kombinierten die Veeam RCE-Schwachstelle mit gestohlenen VPN-Anmeldeinformationen, um Server zu infiltrieren und bösartige administrative Konten zu erstellen. Durch das Hinzufügen dieser Konten zur Gruppe der Remotedesktopbenutzer können sie über das Internet exponierte Server kontrollieren, wodurch die Backup-Systeme anfällig für unbefugten Zugriff und Ransomware-Angriffe werden. Sophos X-Ops, eine auf die Reaktion auf Sicherheitsvorfälle spezialisierte Organisation, hat aufgedeckt, dass diese Angriffsmethode eine nahezu vollständige Kontrolle über ungesicherte VBR-Server ermöglicht.
Vor kurzem hatten wir die Ausnutzung dieser kritischen Sicherheitslücke durch die Ransomware Akira und Fog in einem Artikel behandelt, in dem wir die Bedrohung durch CVE-2024-40711 für Veeam Backup & Replication-Server ausführlich beschrieben hatten. Indem er die Auswirkungen dieser Schwachstellen hervorhob, machte dieser Artikel bereits deutlich, wie wichtig es ist, Schwachstellen schnell zu beheben, um massive Eindringlinge zu verhindern. Heute bestätigt das Auftreten der Ransomware Frag die Dringlichkeit einer proaktiven Sicherheitsstrategie für die Veeam-Infrastrukturen.
Frag-Ransomware: ein Neuling in der Szene der Cyberangriffe.
Die Sicherheitslücke CVE-2024-40711 wurde im Rahmen einer Reihe bösartiger Aktivitäten ausgenutzt, die von Sophos als STAC 5881 bezeichnet werden. Vor kurzem beobachteten die Analysten von Sophos X-Ops wieder einmal die mit STAC 5881 verbundenen Taktiken – diesmal jedoch beobachteten sie den Einsatz der neuen Ransomware „Frag“. Frag Ransomware verwendet ähnliche Methoden wie die Ransomware Akira und Fog. Die Forscher beobachteten, dass Frag nach der Nutzung kompromittierter VPNs, um auf Systeme zuzugreifen und die Schwachstelle in Veeam Frag auszunutzen, neue Administratorkonten erstellt . Diese neuen Konten mit den Namen „point“ und „point2“ ermöglichen dann die Kontrolle über kompromittierte Netzwerke. Laut Sean Gallagher agiert Frag direkt über die Befehlszeile, mit mehreren konfigurierbaren Parametern und einem Verschlüsselungsprozentsatz als Pflichtparameter. Diese Ransomware ermöglicht es den Angreifern, die zu verschlüsselnden Dateien und Verzeichnisse auszuwählen, und fügt kompromittierten Dateien die Erweiterung .frag hinzu. In einem aktuellen Fall wurde die Ransomware von der CryptoGuard-Funktion von Sophos Endpoint Protection blockiert und eine spezielle Erkennung für diese Malware hinzugefügt.
Ein bemerkenswertes Merkmal von Frag ist der Einsatz von LOLBins (Living Off The Land binaries), um Erkennungssystemen zu entgehen. Diese Tools, wie WinRAR oder WinSCP, werden verwendet, um Dateien zu exfiltrieren, ohne Verdacht zu erregen, da sie bereits in den Zielnetzwerken vorhanden sind. Laut Agger Labs ermöglicht diese Methode den Angreifern, mit den Netzwerkaktivitäten zu verschmelzen, was die Erkennung noch schwieriger macht. Diese Technik, die bereits von Akira und Fog eingesetzt wurde, zeugt von der zunehmenden Anpassungsfähigkeit der Ransomware-Betreiber, die diese vertrauenswürdige Software ausnutzen, um unauffällig innerhalb der angegriffenen Infrastruktur zu operieren.
Schutz der Infrastruktur: Die wichtigsten Maßnahmen
Angesichts der Schwere dieser Sicherheitslücke und der Verbreitung von Ransomware, die CVE-2024-40711 ausnutzt, sollten Unternehmen Updates und Patches auf ihren VBR-Servern (Backup Server von Veeam) priorisieren. Eine erhöhte Wachsamkeit ist erforderlich, um verdächtige Aktivitäten im Zusammenhang mit administrativen Konten zu erkennen, und es ist unerlässlich, die Sicherheitskonfigurationen zu verschärfen, insbesondere durch die Isolierung von Backups, um das Risiko im Falle einer Kompromittierung zu verringern. Die Verstärkung des VPN-Zugangs und die Multifaktor-Authentifizierung sind ebenfalls Schlüsselmaßnahmen, um den unbefugten Zugriff zu begrenzen, insbesondere bei Systemen, die im Internet exponiert sind.
Indem sie die Abwehr stärken und sich über die neuesten Bedrohungen auf dem Laufenden halten, können sich Unternehmen wirksam gegen Ransomware-Angriffe schützen und das Risiko von Sicherheitslücken minimieren.
