Khai thác được phát hành cho lỗi Veeam cho phép đánh cắp thông tin xác thực văn bản rõ ràng

Mã khai thác đa nền tảng hiện có sẵn cho lỗ hổng Dịch vụ sao lưu nghiêm trọng cao ảnh hưởng đến phần mềm Sao lưu và sao lưu (VBR) của Veeam.

Lỗ hổng (CVE-2023-27532) ảnh hưởng đến tất cả các phiên bản VBR và có thể bị kẻ tấn công chưa được xác thực khai thác để vi phạm cơ sở hạ tầng sao lưu sau khi đánh cắp thông tin đăng nhập văn bản rõ ràng và thực thi mã từ xa dưới dạng HỆ THỐNG.

Veeam đã phát hành các bản cập nhật bảo mật để giải quyết lỗ hổng này cho VBR V11 và V12 vào ngày 7 tháng 3, khuyên khách hàng sử dụng các bản phát hành cũ hơn nên nâng cấp lên các thiết bị dễ bị tổn thương chạy các bản phát hành không được hỗ trợ.

"Chúng tôi đã phát triển các bản vá cho V11 và V12 để giảm thiểu lỗ hổng này và chúng tôi khuyên bạn nên cập nhật cài đặt của mình ngay lập tức", công ty cảnh báo.

Công ty cũng đã chia sẻ một bản sửa lỗi tạm thời cho những quản trị viên không thể triển khai các bản vá ngay lập tức, yêu cầu chặn các kết nối bên ngoài tới cổng TCP 9401 bằng tường lửa của máy chủ dự phòng để loại bỏ vectơ tấn công.

Veeam cho biết phần mềm VBR của họ được sử dụng bởi hơn 450.000 khách hàng trên toàn thế giới, bao gồm 82% công ty trong danh sách Fortune 500 và 72% trong số 2.000 công ty toàn cầu.

Hôm nay, chỉ hơn hai tuần sau khi Veeam phát hành bản vá CVE-2023-27532, Nhóm tấn công của Horizon3 đã công bố phân tích nguyên nhân gốc rễ kỹ thuật cho lỗ hổng nghiêm trọng cao này.

Họ cũng đã phát hành mã khai thác bằng chứng khái niệm (PoC) đa nền tảng cho phép lấy thông tin xác thực ở dạng văn bản gốc từ cơ sở dữ liệu cấu hình VBR bằng cách lạm dụng điểm cuối API không bảo mật.

​"Chúng tôi đã phát hành POC của mình trên Github, được xây dựng trên lõi .NET và có khả năng chạy trên Linux, khiến nó có thể tiếp cận được với nhiều đối tượng hơn", James Horseman, nhà nghiên cứu lỗ hổng Horizon3 cho biết .

"Điều quan trọng cần lưu ý là lỗ hổng này cần được xem xét nghiêm túc và các bản vá phải được áp dụng càng sớm càng tốt để đảm bảo an ninh cho tổ chức của bạn."

Tuần trước, các nhà nghiên cứu bảo mật của Huntress đã chia sẻ một video demo khai thác PoC của riêng họ có khả năng loại bỏ thông tin đăng nhập văn bản rõ ràng và thực thi mã tùy ý thông qua các lệnh gọi API bổ sung có thể được vũ khí hóa.

"Mặc dù kết xuất thông tin xác thực chưa được xác thực hoạt động như một véc tơ cho chuyển động ngang hoặc hậu khai thác, nhưng lỗ hổng được đề cập cũng có thể được sử dụng để thực thi mã từ xa chưa được xác thực — biến chính phiên bản Veeam dễ bị tổn thương thành một véc tơ để truy cập ban đầu hoặc thỏa hiệp thêm," Huntress Nhà nghiên cứu bảo mật phòng thí nghiệm John Hammond giải thích.

Trong số 2 triệu thiết bị đầu cuối đang chạy phần mềm đại lý của mình, Huntress cho biết họ đã phát hiện hơn 7.500 máy chủ chạy phần mềm Veeam Backup & Replication dễ bị khai thác CVE-2023-27532.

Mặc dù không có báo cáo nào về việc các tác nhân đe dọa tận dụng lỗ hổng này và không có nỗ lực khai thác nó ngoài thực tế, nhưng những kẻ tấn công có thể sẽ tạo ra các khai thác của riêng chúng dựa trên mã PoC do các nhà nghiên cứu Horizon3 xuất bản để nhắm mục tiêu các máy chủ Veeam tiếp xúc với Internet.

Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.