CISA adverte Veeam Backup por vulnerabilidades no sistema

A CISA adicionou cinco falhas ao seu catálogo na terça-feira, incluindo as que afetam os produtos Veeam, Fortinet, Microsoft e Citrix.

Duas falhas de segurança que afetam a solução de backup empresarial Backup & Replication da Veeam foram adicionadas à lista. O produto foi projetado para automatizar backups e descobertas de carga de trabalho em ambientes de nuvem, virtuais, físicos e NAS.

As vulnerabilidades, rastreadas como CVE-2022-26500 e CVE-2022-26501 , foram classificadas como ‘críticas’ e podem ser exploradas por um invasor remoto e não autenticado para execução arbitrária de código, o que pode levar o hacker a assumir o controle do alvo sistema.

As falhas de segurança, descobertas por pesquisadores da Positive Technologies, foram corrigidas em março, juntamente com outras duas vulnerabilidades de execução de código, rastreadas como CVE-2022-26503 e CVE-2022-26504.

A CISA não fornece informações sobre os ataques que exploram essas vulnerabilidades, mas a empresa de segurança cibernética CloudSEK informou em outubro que viu vários agentes de ameaças anunciando uma “ferramenta totalmente armada para execução remota de código” que explorava várias vulnerabilidades do Veeam Backup & Replication, incluindo CVE-2022 -26500 e CVE-2022-26501.

A CloudSEK relatou que a ferramenta anunciada por agentes de ameaças também explorou o CVE-2022-26504, mas essa falha não foi adicionada ao catálogo da CISA, então é possível que a agência tenha adicionado as vulnerabilidades da Veeam à sua lista com base em outros relatórios.

De acordo com a CloudSEK, seus pesquisadores descobriram um repositório GitHub contendo scripts para recuperar senhas do gerenciador de credenciais Veeam Backup & Replication. A empresa disse que um malware chamado ‘Veeamp’ foi usado na natureza pelos Monti e Yanluowang grupos de ransomware.

A Veeamp também foi mencionada pela BlackBerry em um relatório com foco no ransomware Monti em setembro. Os pesquisadores do BlackBerry o descreveram como uma ferramenta projetada para descartar as credenciais da Veeam.

Dave Russell, vice-presidente de estratégia corporativa da Veeam, disse à SecurityWeek que os relatórios de exploração estão relacionados às vulnerabilidades corrigidas em março e não há novas informações.

“A Veeam está ciente do malware ‘Veeamp’, que sugere que nosso software está sendo alvo de agentes de ransomware em uma tentativa de interromper os backups e roubar credenciais”, explicou Russell. “A Veeam armazena essas credenciais em nosso banco de dados conforme exigimos que acessem a infraestrutura. As senhas são armazenadas em um estado criptografado, protegendo-as contra acesso não autorizado. O ataque em questão exige que o invasor tenha acesso direto ao servidor Veeam para descriptografar as senhas, o que significa que o invasor já possui privilégios elevados e comprometeu a rede da vítima.”

“Este é outro lembrete para as empresas e organizações revisarem seus próprios esforços internos de segurança cibernética para garantir que o software e os sistemas operacionais sejam corrigidos e atualizados, que as identidades sejam gerenciadas com segurança e que haja progresso na adoção de tecnologias de confiança zero, incluindo criptografia”, disse Russell.

Os produtos da Veeam podem ser um alvo tentador para agentes mal-intencionados. O fornecedor diz que o produto afetado é usado por 70% das empresas da Fortune 2000, incluindo grandes empresas como Volkswagen, Siemens, Deloitte, Shell, Fujitsu, Airbus e Puma.