Multiple RCE Vulnerabilities Discovered in Veeam Backup & Replication App
2022/10/24 InfoSecurity — Veeam Backup & Replication アプリケーションで、複数の重大かつ深刻な脆弱性が発見された。その中でも、リモート・コード実行 (RCE) の脆弱性を悪用する、完全に武器化されたツールが販売されている可能性があることが判明しました。この発見は、CloudSEK のセキュリティ研究者たちによるものであり、今日の未明にアドバイザリが発表されている。
研究者たちは、「複数の脅威アクターが、Veeam Backup & Replication に影響を及ぼす脆弱性の悪用を目的として、完全に武器化されたリモート・コード実行のためのツールを宣伝しているのが見受けられている。対象となる脆弱性は、CVE-2022-26501 (CVSS 9.8) と CVE-2022-26504 (CVSS 8.8) である」と、アドバイザリで述べている。
CloudSEK によると、これらの脆弱性の悪用に成功した攻撃者は、ローカル/リモートを問わずに Server Message Block (SMB) ネットワークを介して、ファイルのコピー/権限なしの RCE/権限なしのLPE を引き起こす可能性があるとのことだ。
技術的な観点から Veeam Backup & Replication を説明すると、VMware vSphere/Nutanix AHV/Microsoft Hyper-V Hypervisor 上に構築された、仮想環境向けの独自のバックアップ・アプリとなる。このアプリケーションは、仮想マシン (VM) のバックアップと復元だけではなく、Exchange/SharePoint などの環境における、個々のファイルやアプリケーションの保護/復元にも使用できる。
CloudSEK によると、「Veeamp という名のマルウェアが、野放し状態になっており、Monti と Yanluowang というランサムウェア・グループが、Veeam の SQL データベースから認証情報をダンプするために使用していた」とのことだ。
また、Veeam Backup & Replication のクレデンシャル・マネージャから、パスワードを復元するスクリプトを含む、veeam-creds という GitHub リポジトリが、3つの悪意のファイルとともに発見されたという。
CloudSEK が、上記の脆弱性を Veeam に開示したことで、すでにバージョン 11.0.1.1261 でパッチがリリースされている。CloudSEK のアドバイザリは、同社の Web サイトで公開されており、Indicators of Compromise (IoC) の完全なリストが含まれている。
このアドバイザリは、VMware のユーティリティ製品である VMware Tools に存在する、深刻な脆弱性を修正するためのパッチが公開されてから、数カ月後に出されたものである。
仮想マシンのバックアップ機能を、VMware vSphere/Nutanix AHV/Microsoft Hyper-V Hypervisor に対して提供する、Veeam に生じた深刻な脆弱性が FIX とのことです。このプログにおける Veeam ですが、2022年1月24日の「ベラルーシの反体制ハッカー・グループが、国営鉄道 Belarusian Railway のシステムを暗号化」に登場しています。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.