Die kritische Sicherheitslücke CVE-2024-40711 auf Veeam Backup & Replication Servern wird aktiv von den Ransomware-Programmen Akira und Fog ausgenutzt. Trotz der Veröffentlichung von Patches durch Veeam sind viele Unternehmen weiterhin anfällig, was die Tür für Sicherheitsvorfälle offen lässt.
Kritische Sicherheitslücke wird von Cyberkriminellen ausgenutzt.
Eine wichtige Sicherheitslücke mit der Kennung CVE-2024-40711 gefährdet die Server von Veeam Backup & Replication (VBR), die von vielen Unternehmen für die Sicherung und Wiederherstellung von Daten eingesetzt werden. Die Sicherheitslücke wurde von Florian Hauser, Sicherheitsforscher bei Code White, entdeckt und ermöglichtRemotecodeausführung (RCE) auf den anfälligen Servern. Die Sicherheitslücke führt zu einer nicht vertrauenswürdigen Deserialisierung von Daten, die von nicht authentifizierten böswilligen Akteuren in Angriffen mit geringer Komplexität ausgenutzt werden kann.
Ein Deserialisierungsangriff ermöglicht es einem Angreifer, ungeprüfte Daten zu manipulieren, die an eine Anwendung gesendet werden, die sie als interne Objekte verarbeitet. Wenn diese Objekte verwendet werden, können bösartige Befehle ausgeführt werden. Genau dieser Prozess ist hier mit Veeam.Backup.MountService.exe im Spiel.
Veeam hat die Sicherheitslücke offiziell aufgedeckt und am 4. September 2024 Sicherheits-Patches veröffentlicht. Die Bedrohung ist jedoch real, da viele Unternehmen, die diese Lösung verwenden, diese Patches noch nicht eingespielt haben und ihre Systeme somit ungeschützt lassen. Die Sicherheitslücke CVE-2024-40711 wird als kritischer Schweregrad eingestuft (CVSS-Score v3.1: 9.8) und ist damit alarmierend, da sie von nicht authentifizierten Angreifern leicht ausgenutzt werden kann. Cyberkriminelle haben dies schnell ausgenutzt und die Sicherheitslücke für Angriffe mit den Ransomwares Akira und Fog ausgenutzt.
Akira und Fog: Zwei Ransomware-Programme, die die Sicherheitslücke CVE-2024-40711 ausnutzen.
Die Ransomware-Banden Akira und Fog gehörten zu den ersten, die diese Schwachstelle aktiv ausnutzten. Den Ermittlern von Sophos X-Ops zufolge haben diese Angriffe in den letzten Wochen zugenommen, wobei die Angreifer mithilfe kompromittierter Anmeldedaten ein lokales Konto namens „Punkt“ erstellen und dieses Konto dann zu den Gruppen Lokale Administratoren und Remotedesktop-Benutzer hinzufügen.
Sophos stellte in einem Beitrag auf infosec.exchange klar:
„Jedes Mal nutzten die Angreifer VEEAM auf dem URI /trigger auf Port 8000 aus und lösten die Veeam.Backup.MountService.exe aus, um net.exe zu erzeugen. Der Exploit erstellt ein lokales Konto, „point“, und fügt es den Gruppen Lokale Administratoren und Remotedesktop-Benutzer hinzu. Im Vorfall mit der Ransomware Fog setzte der Angreifer sie auf einem ungeschützten Hyper-V-Server ein und verwendete dann das Dienstprogramm rclone, um die Daten zu exfiltrieren“.
Die Sicherheitslücke wird also hauptsächlich über die exponierte Schnittstelle auf Port 8000 ausgenutzt, wodurch Angreifer Backup-Dienste kompromittieren und Tools wie net.exe verwenden können, das ein Windows-Dienstprogramm zur Verwaltung von Benutzern und Netzwerkdiensten ist, hier aber zur Erstellung von Administratorkonten missbraucht wird.
In einigen Fällen setzten die Angreifer die Ransomware Fog ein, während sie in anderen Fällen versuchten, Akira zu installieren. Die bei diesen vier Vorfällen beobachteten Indikatoren zeigen Ähnlichkeiten mit früheren Angriffen, die mit diesen beiden Ransomwares durchgeführt wurden. Eine häufige Technik, die bei diesen Angriffen beobachtet wurde, ist die Ausnutzung kompromittierter VPN-Gateways, oft ohne aktivierte Multifaktor-Authentifizierung (MFA). Darüber hinaus handelte es sich bei einigen dieser VPN-Gateways um veraltete Softwareversionen, was die Verwundbarkeit der Ziele noch weiter erhöhte.
In einem speziellen Vorfall, an dem Fog beteiligt war, zielten die Angreifer auf einen ungeschützten Hyper-V-Server ab. Nachdem sie das System infiltriert hatten, benutzten sie das Tool rclone, um Daten zu exfiltrieren, bevor sie die Ransomware auslösten. Obwohl der Endpunktschutz und die Incident Response Services von Sophos die Installation der Ransomware in einigen Fällen verhinderten, unterstreichen diese Vorfälle, wie wichtig es ist,Sicherheits-Patches schnell einzuspielen.
Detaillierte Funktionsweise des Exploits
Laut der detaillierten technischen Analyse von WatchTowr Labs beruht die Ausnutzung dieser Schwachstelle auf der unsicheren Deserialisierung von Daten durch den Dienst Veeam.Backup.MountService.exe, auf den über Port 8000 zugegriffen wird. Dieser anfällige Dienst ermöglicht es Angreifern, Befehle aus der Ferne ohne vorherige Authentifizierung auszuführen. Durch Ausnutzung dieser Schwachstelle können Cyberkriminelle problemlos Systeme infiltrieren und bösartige Administratorkonten erstellen.
Der Prozess Veeam.Backup.MountService.exe ist bei diesem Exploit zentral. Sobald ein Angreifer die Kontrolle über ihn erlangt, kann er Tools wie net.exe aufrufen, um Benutzerkonten aus der Ferne zu verwalten. Dieses Werkzeug wird missbraucht, um ein bösartiges Konto zu den Administratorgruppen hinzuzufügen und so vollen Zugriff auf den Rechner zu ermöglichen.
Die Bedeutung von Sicherheitspatches und vorbeugenden Maßnahmen
Die schnelle Ausnutzung der Sicherheitslücke CVE-2024-40711 durch Cyberkriminelle zeigt , wie dringend es für Unternehmen ist, die von Veeam veröffentlichten Sicherheitspatches zu implementieren. Trotz der Veröffentlichung dieser Patches haben viele Organisationen ihre Systeme noch nicht abgesichert, wodurch ihre sensiblen Daten einem erhöhten Risiko ausgesetzt sind. Die Zeitspanne zwischen der Bekanntgabe der Sicherheitslücke und dem Auftreten der ersten Exploits war kurz, mit nur wenigen Tagen Verschnaufpause, bevor die Angriffe wieder zunahmen.
Neben dem Einspielen von Patches ist es von entscheidender Bedeutung, den VPN-Zugang zu sichern, insbesondere veraltete oder unsichere VPNs, die bei dieser Art von Angriffen häufig ausgenutzt werden. Die Aktivierung der Multi-Faktor-Authentifizierung (MFA) für Remote-Zugriffe ist eine weitere wichtige Maßnahme, um unbefugte Zugriffe zu verhindern.
Historische Schwachstellen in Veeam Backup & Replication.
Dies ist nicht das erste Mal, dass die Software Veeam Backup & Replication Ziel von Ransomware-Angriffen wurde. Im März 2023 wurde eine weitere kritische Schwachstelle, die unter CVE-2023-27532 gelistet ist, von Cyberkriminellen ausgenutzt. Über diese Schwachstelle konnten die Hosts der Backup-Infrastruktur infiltriert werden. Das Cybersicherheitsunternehmen WithSecure hatte Angriffe beobachtet, die diese Schwachstelle ausnutzten. Daran beteiligt war unter anderem die Gruppe FIN7, die für ihre Verbindungen zu Ransomware-Operationen wie Conti, REvil, Maze, Egregor und BlackBasta bekannt ist.
Einige Monate später wurde dieselbe Schwachstelle bei Angriffen mit Cuba-Ransomware ausgenutzt, die vor allem auf kritische Infrastrukturen in den USA sowie auf IT-Unternehmen in Lateinamerika abzielten. Diese Vorfälle zeigen, dass Cyberkriminelle ein besonderes Augenmerk auf Backup-Lösungen legen, die aufgrund der darin enthaltenen sensiblen Daten oft als beliebte Angriffsziele gelten .
Zuletzt hatte Veeam im Mai 2024 seine Nutzer vor der Verfügbarkeit eines Patches für eine kritische Schwachstelle zur Umgehung der Authentifizierung gewarnt. Die Schwachstelle CVE-2024-29849 ermöglicht es einem Angreifer, die Authentifizierung zu umgehen und die Kontrolle über das System zu erlangen.
Fazit: Schützen Sie Ihre Infrastruktur vor einer wachsenden Bedrohung.
Die jüngsten Angriffe, die die Sicherheitslücke CVE-2024-40711 ausnutzen, erinnern daran, wiewichtig es ist, im Bereich der IT-Sicherheit schnell zu reagieren. Unternehmen, die Veeam Backup & Replication-Lösungen einsetzen, sollten sicherstellen, dass sie ihre Systeme auf dem neuesten Stand halten, Sicherheitspatches einspielen, sobald sie verfügbar sind, und Schutzmaßnahmen wie die Multi-Faktor-Authentifizierung für den Remote-Zugriff verstärken.
Absichtliche Verzögerung der Veröffentlichung des PoC: Es sei darauf hingewiesen, dass WatchTowr Labs die Veröffentlichung des Proof of Concept (PoC) absichtlich bis zum 15. September 2024 verzögert hat, um den Unternehmen Zeit zu geben, ihre Infrastrukturen zu patchen, bevor eine massive Angriffswelle ausgelöst wird.
Ohne diese Vorsichtsmaßnahmen setzen sich die Organisationen nicht nur Ransomware-Angriffen, sondern auch potenziell katastrophalen Datenverletzungen aus. Die Geschwindigkeit, mit der Gruppen wie Akira und Fog diese Schwachstelle ausgenutzt haben, zeigt einmal mehr, dass die Cybersicherheit für Unternehmen, die kritische Backup-Infrastrukturen nutzen, oberste Priorität haben muss.
Quellen und Analysen (auf Englisch) :
Akira and Fog ransomware now exploit critical Veeam RCE flaw (Bleeping computer).
Veeam Backup & Response – RCE With Auth, But Mostly Without Auth (CVE-2024-40711) (WatchTowr Labs)
