Kritiek lek in Veeam back-upservers gebruikt bij ransomware-aanvallen

[Captain Kirk]

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Veeam Backup & Replication bij het uitvoeren van ransomware-aanvallen. Dat meldt antivirusbedrijf Sophos. Veaam kwam begin vorige maand met updates voor het beveiligingslek. Het bedrijf biedt oplossingen voor het maken en restoren van back-ups en repliceren van software.

Een kwetsbaarheid in Backup & Replication maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand code op de back-uperserver uit te voeren. De impact van de kwetsbaarheid (CVE-2024-40711) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Sophos zegt vorige maand meerdere ransomware-aanvallen te hebben gezien, waarbij aanvallers gecompromitteerde inloggegevens en de Veeam-kwetsbaarheid gebruikten.

De aanvallen begonnen via gecompromitteerde vpn-gateways zonder multifactorauthenticatie. Sommige van de vpn-servers draaiden verouderde softwareversies. Zodra er toegang was verkregen werd de Veaam-kwetsbaarheid gebruikt en maakten aanvallers een lokaal account aan. Vervolgens werden gegevens gestolen en uiteindelijk de ransomware uitgerold. In het verleden zijn kwetsbaarheden in Veeam vaker gebruikt bij ransomware-aanvallen.

 

bron: https://www.security.nl