Veeamの脆弱性(CVE-2024-40711)をランサムウェア AkiraとFogが悪用
Veeamの脆弱性(CVE-2024-40711)をランサムウェア AkiraとFogが悪用しているとSophos X-Opsが発表しています。
Sophos X-Ops の警告
Sophos X-OpsはMastodonのセキュリティサーバーで以下の警告をしています。
MDR およびインシデント対応チームは、過去1か月間に発生した一連の攻撃を追跡しています。これらの攻撃では、侵害された認証情報と Veeam の既知の脆弱性(CVE-2024-40711)を悪用し、アカウントを作成してランサムウェアの展開を試みていました。
あるケースでは、攻撃者が Fog ランサムウェアをドロップしました。同じ時期に発生した別の攻撃では、Akira ランサムウェアを展開しようとしました。これら4件のケースのインジケーターは、以前の Akira および Fog ランサムウェア攻撃と共通しています。
いずれのケースにおいても、攻撃者は最初に多要素認証が有効化されていない、侵害された VPN ゲートウェイを使用してターゲットにアクセスしました。これらの VPN の一部はサポートが終了したソフトウェアバージョンを実行していました。
毎回、攻撃者はポート8000の URI「/trigger」で Veeam の脆弱性を悪用し、Veeam.Backup.MountService.exe
を起動して net.exe
を生成させました。このエクスプロイトは「point」というローカルアカウントを作成し、そのアカウントをローカル管理者およびリモートデスクトップユーザーグループに追加します。
Fog ランサムウェアが使用されたインシデントでは、攻撃者は保護されていない Hyper-V サーバーにランサムウェアを展開し、その後、rclone
ユーティリティを使用してデータを外部に持ち出しました。
その他のケースでは、Sophos のエンドポイント保護および MDR がランサムウェアの展開を防止しました。
脆弱性 CVE-2024-40711 の概要
悪意のあるペイロードによる信頼できないデータの逆シリアル化の脆弱性により、認証されていないリモート コード実行 (RCE) が発生する可能性があります。
この脆弱性は2024年9月時点でパッチがリリースされ、その後研究者によってPOCも公開されています
参照
Akira and Fog ransomware now exploit critical Veeam RCE flaw