La faille de sécurité CVE-2024-40711 présente dans Veeam Backup & Replication est désormais exploitée par deux gangs de ransomware : Akira et Fog. Faisons le point sur cette menace.
Début septembre 2024, Veeam a corrigé plusieurs failles de sécurité dans ses produits, dont la CVE-2024-40711, présente dans sa solution de sauvegarde Backup & Replication. Associée à un score CVSS v3.1 de 9.8 sur 10, un attaquant peut l’exploiter pour exécuter du code à distance sur l’instance Veeam Backup & Replication, sans être authentifié.
Cette vulnérabilité a été divulguée le 4 septembre 2024 et un code d’exploitation public a été mis en ligne par watchTowr Labs le 15 septembre 2024. Cet exploit PoC a été publié une dizaine de jours plus tard afin de laisser le temps aux administrateurs de patcher leur serveur Veeam. De son côté, Florian Hauser, chercheur en sécurité chez Code White, explique cette vulnérabilité peut être exploitée facilement par les pirates.
La CVE-2024-40711 exploitée par les ransomwares
Dans le cadre d’opérations de réponse à incident, l’équipe de Sophos X-Ops est parvenue à identifier un lien entre la CVE-2024-40711 et les gangs de ransomware Akira et Fog. « Dans un cas, les attaquants ont diffusé le ransomware Fog. Une autre attaque menée au cours de la même période a tenté de déployer le ransomware Akira. Dans les quatre cas, les indicateurs se recoupent avec ceux d’attaques antérieures par des ransomwares Akira et Fog.« , peut-on lire.
Pour l’accès initial à l’infrastructure cible, les pirates ont utilisé des accès VPN compromis, sur lesquels l’authentification multifacteurs n’était pas activée. Le serveur Veeam Backup & Replication a ensuite été ciblé sur le port 8000 afin d’atteindre « Veeam.Backup.MountService.exe« .
Ceci a permis à l’attaquant de créer un compte local sur la machine et de l’ajouter aux groupes « Administrateurs » et « Utilisateurs du Bureau à distance« . « Dans le cas du ransomware Fog, l’attaquant l’a déployé sur un serveur Hyper-V non protégé, puis a utilisé l’utilitaire rclone pour exfiltrer des données.« , peut-on lire.
Ce n’est pas la première fois que des gangs de ransomware s’attaquent à la solution Veeam Backup & Recovery. Nous pouvons notamment citer les gangs Cuba et BlackBasta ainsi que la vulnérabilité CVE-2023-27532, patchée en mars 2023.