Ransomware-Gruppen Akira und Fog zielen auf ungepatchte Veeam RCE-Schwachstelle

[English]Im September 2024 wurde die Schwachstelle CVE-2024-40711 in Veeam Backup & Replication bekannt und der Hersteller hat einen Patch bereitgestellt. Nun gibt es Hinweise, dass die Ransomware-Gruppen Akira und Fog RCE-Schwachstelle auf ungepatchten Veeam-Systemen mit Backup & Replication in Angriffen ausnutzen.

Kritische Veeam RCE-Schwachstelle CVE-2024-4071

Der Softwarehersteller Veeam hatte Anfang September 2024 eine Warnung vor einer kritischen RCE-Schwachstelle in seiner Software Backup & Replication herausgegeben. Die Schwachstelle CVE-2024-40711 ermöglicht einem nicht authentifizierten Angreifer eine Remote Code-Ausführung und wird mit einem CVSS v3.1 Score 9.8 als kritisch eingestuft.

Die (RCE) Schwachstelle war von Florian Hauser von CODE WHITE GmbH entdeckt und gemeldet worden. Betroffene Systeme sollten so schnell als möglich gepatcht werden. Ich hatte im Blog-Beitrag Veeam warnt vor kritischer RCE-Schwachstelle CVE-2024-4071 in Backup & Replication über diese und weitere Schwachstellen in Veeam-Produkten berichtet. Von Veeam stehen seit Anfang September 2024 Sicherheitsupdates für die betroffenen Produkte zur Verfügung.

Ungepatchte Veeam-Systeme im Fokus

Nun lese ich bei den Kollegen von Bleeping Computer, dass die Ransomware-Gruppen Akira und Fog damit begonnen haben, Unternehmen über die oben genannte Schwachstelle in Veeam Backup & Replication anzugreifen.

Laut den Kollegen gibt es seit dem 9. September 2024 eine technische Analyse der Schwachstelle von WatchLabs. Und es gab ein Proof of Concept (PoC) von WatchLabs, welches aber zurückgehalten wurde.

Sicherheitsexperten von Sophos (Sophos X-Ops Incident Responder) konnten bereits im September 2024 beobachten, dass die RCE-Schwachstelle CVE-2024-40711 zügig von Ransomware-Gruppen ausgenutzt wurde. Es wurde beobachtet, dass Akira und Fog zusammen mit zuvor kompromittierten Zugangsdaten die RCE-Schwachstelle CVE-2024-40711 bei Ransomware-Angriffen ausgenutzt haben.

Die Sophos-Experten geben an, dass in jedem dieser Fälle die Angreifer zunächst über kompromittierte VPN-Gateways ohne aktivierte Multifaktor-Authentifizierung auf die Ziele zugriffen. In einigen dieser VPNs liefen nicht unterstützte Softwareversionen.

Jedes Mal nutzten die Angreifer dann VEEAM über den URI /trigger auf Port 8000 aus und veranlassten die Veeam.Backup.MountService.exe die Anwensung net.exe zu starten. Der dann benutzte Exploit erstellt ein lokales Konto "point", und fügt es zu den lokalen Gruppen Administrators und Remote Desktop Users hinzu.

Bei dem Fog Ransomware-Vorfall hat der Angreifer die Ransomware auf einem ungeschützten Hyper-V-Server installiert und dann das Dienstprogramm rclone verwendet, um Daten zu exfiltrieren. Sophos Endpoint Protection und MDR verhinderten den Einsatz von Ransomware in den anderen Fällen.

Das Ganze zeigt, wie wichtig es ist, die eingesetzte Software zeitnah zu aktualisieren und Sicherheitspatches einzuspielen, um bekannte Schwachstellen zu schließen. Aktuell gehe ich aber davon aus, dass Veeam bei der Leserschaft des Blogs auf dem aktuellen Patchstand ist.