![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
[English]Im September 2024 wurde die Schwachstelle CVE-2024-40711 in Veeam Backup & Replication bekannt und der Hersteller hat einen Patch bereitgestellt. Nun gibt es Hinweise, dass die Ransomware-Gruppen Akira und Fog RCE-Schwachstelle auf ungepatchten Veeam-Systemen mit Backup & Replication in Angriffen ausnutzen.<\/p>\n
<\/p>\n
Die (RCE) Schwachstelle war von Florian Hauser von CODE WHITE GmbH entdeckt und gemeldet worden. Betroffene Systeme sollten so schnell als m\u00f6glich gepatcht werden.\u00a0Ich hatte im Blog-Beitrag\u00a0Veeam warnt vor kritischer RCE-Schwachstelle CVE-2024-4071 in Backup & Replication<\/a> \u00fcber diese und weitere Schwachstellen in Veeam-Produkten berichtet. Von Veeam stehen seit Anfang September 2024 Sicherheitsupdates f\u00fcr die betroffenen Produkte zur Verf\u00fcgung.<\/p>\n Nun lese ich<\/a> bei den Kollegen von Bleeping Computer, dass die Ransomware-Gruppen Akira und Fog damit begonnen haben, Unternehmen \u00fcber die oben genannte Schwachstelle in Veeam Backup & Replication anzugreifen.<\/p>\n Laut den Kollegen gibt es seit dem 9. September 2024 eine technische Analyse<\/a> der Schwachstelle von WatchLabs. Und es gab ein Proof of Concept (PoC) von WatchLabs, welches aber zur\u00fcckgehalten wurde.<\/p>\n Sicherheitsexperten von Sophos (Sophos X-Ops Incident Responder) konnten bereits im September 2024 beobachten, dass die\u00a0RCE-Schwachstelle CVE-2024-40711 z\u00fcgig von Ransomware-Gruppen ausgenutzt wurde. Es wurde beobachtet<\/a>, dass Akira und Fog zusammen mit zuvor kompromittierten Zugangsdaten die RCE-Schwachstelle CVE-2024-40711 bei Ransomware-Angriffen ausgenutzt haben.<\/p>\n Die Sophos-Experten geben an, dass in jedem dieser F\u00e4lle die Angreifer zun\u00e4chst \u00fcber kompromittierte VPN-Gateways ohne aktivierte Multifaktor-Authentifizierung auf die Ziele zugriffen. In einigen dieser VPNs liefen nicht unterst\u00fctzte Softwareversionen.<\/p>\n Jedes Mal nutzten die Angreifer dann VEEAM \u00fcber den URI \/trigger auf Port 8000 aus und veranlassten die Veeam.Backup.MountService.exe <\/em>die Anwensung\u00a0net.exe<\/em> zu starten. Der dann benutzte Exploit erstellt ein lokales Konto \"point\", und f\u00fcgt es zu den lokalen Gruppen Administrators<\/em> und Remote Desktop Users<\/em> hinzu.<\/p>\n Bei dem Fog Ransomware-Vorfall hat der Angreifer die Ransomware auf einem ungesch\u00fctzten Hyper-V-Server installiert und dann das Dienstprogramm rclone verwendet, um Daten zu exfiltrieren. Sophos Endpoint Protection und MDR verhinderten den Einsatz von Ransomware in den anderen F\u00e4llen.<\/p>\n Das Ganze zeigt, wie wichtig es ist, die eingesetzte Software zeitnah zu aktualisieren und Sicherheitspatches einzuspielen, um bekannte Schwachstellen zu schlie\u00dfen. Aktuell gehe ich aber davon aus, dass Veeam bei der Leserschaft des Blogs auf dem aktuellen Patchstand ist.<\/p>\n","protected":false},"excerpt":{"rendered":" [English]Im September 2024 wurde die Schwachstelle CVE-2024-40711 in Veeam Backup & Replication bekannt und der Hersteller hat einen Patch bereitgestellt. Nun gibt es Hinweise, dass die Ransomware-Gruppen Akira und Fog RCE-Schwachstelle auf ungepatchten Veeam-Systemen mit Backup & Replication in Angriffen … Weiterlesen Der Softwarehersteller Veeam hatte Anfang September 2024 eine Warnung vor einer kritischen RCE-Schwachstelle in seiner Software Backup & Replication herausgegeben. Die Schwachstelle CVE-2024-40711<\/a> erm\u00f6glicht einem nicht authentifizierten Angreifer eine Remote Code-Ausf\u00fchrung und wird mit einem CVSS v3.1 Score 9.8 als kritisch eingestuft.<\/p>\n
Ungepatchte Veeam-Systeme im Fokus<\/h2>\n
![\"Ransomware](\"https:\/\/i.postimg.cc\/wMnQ2g8k\/image.png\" "\\"Ransomware")
<\/a><\/p>\n