Veeam Backup & Replication の脆弱性 CVE-2023-27532:PoC エクスプロイトが登場

Exploit released for Veeam bug allowing cleartext credential theft

2023/03/23 BleepingComputer — Veeam Backup & Replication (VBR)ソフトウェアに影響を及ぼす、Backup Service の深刻な脆弱性に対して、クロスプラット・フォームのエクスプロイト・コードが登場した。この脆弱性 CVE-2023-27532 は、すべての VBR バージョンに影響し、未認証の攻撃者に対して、平文の認証情報の窃取とバックアップ・インフラへの侵入を許し、SYSTEM としてのリモート・コード実行にいたる可能性が生じる。


2023年3月7日に Veeam は、VBR V11/V12 おける、この脆弱性に対するセキュリティアップデートをリリースした。そして、古いリリースを使用している顧客に対して、サ脆弱なデバイスを保護するためにアップグレードするよう助言している。

同社は、「この脆弱性を緩和するための V11/V12 用のパッチを開発したので、直ちに更新することを推奨する」と警告している。

さらに同社は、パッチを直ちに導入できない管理者のために、一時的な修正策を共有した。具体的には、攻撃ベクターを取り除くために、バックアップ・サーバのファイアウォールを使用して、ポート TCP 9401 への外部接続のブロックを推奨するものだ。

Veeam は VBR ソフトウェアについて、Fortune 500 の 82% および、Global 2,000 の 72% を含む、世界中の 450,000 以上の顧客に使用されていると述べている。

Veeam が CVE-2023-27532 パッチをリリースしてから2週間ほどが経過したが、今日になって、Horizon3 の攻撃チームが、この深刻な脆弱性の技術的な分析を発表した。それに加えて、安全ではない API エンドポイントを悪用し、VBR 設定データベースから平文で認証情報を取得する、クロスプラット・フォームの PoC エクスプロイト・コードも公開した。

Horizon3 CVE-2023-27532 PoC


Horizon3 の脆弱性研究者である James Horseman は、「我々は、.NET Core で構築され、Linux 上で実行可能な PoC を GitHub で公開し、より多くの人々がアクセスできるようにした。この脆弱性を深刻に受け止め、組織のセキュリティを確保するために、可能な限り迅速にパッチを適用する必要があることに留意すべきだ」 と述べている。

先週に、Huntress のセキュリティ研究者たちは、平文の認証情報をダンプし、武器になり得る追加の API コールを介して、任意のコードを実行できる、独自の PoC エクスプロイトのビデオデモを共有した。

Huntress Labs セキュリティ研究者である John Hammond は、「認証されていないクレデンシャル・ダンプは、ラテラル・ムーブメントまたはポスト・エクスプロイトのベクターとして機能するが、この脆弱性は認証されていないリモート・コードの実行にも悪用できる。つまり、脆弱な Veeam インスタンス自体が、初期アクセスまたはさらなる侵害のベクターになる」と説明している。

Huntress は、エージェント・ソフトウェアを実行している 200万台のエンドポイントのうち、Veeam Backup & Replication ソフトウェアを実行している 7,500台以上のホストが、脆弱性 CVE-2023-27532 に対して脆弱であることを検出したと述べている。

ただし、この脆弱性の悪用に関する報告はないが、インターネット上に公開されている Veeam サーバをターゲットに、Horizon3 が公開した PoC コードをベースにして、脅威アクターたちが独自のエクスプロイトを作成すると考えられる。

この、PoC が提供された、Veeam の脆弱性 CVE-2023-27532 ですが、以下の関連記事も、よろしければ、ご参照ください。

2023/04/26:Veeam :ロシアの FIN7 サイバー犯罪組織が狙っている
2023/03/08 :Veeam の CVE-2023-27532:認証情報の不正取得につながる

最近の PoC エクスプロイトに関する記事は、以下のとおりです。

2023/03/06:Word の RCE 脆弱性 CVE-2023-21716
2023/02/23:Zoho の脆弱性 CVE-2022-47966
2023/02/03:CISA KEV:Oracle E-Business Suit
2023/01/31:VMware vRealize Log の RCE 脆弱性
2023/01/26:Windows CryptoAPI の CVE-2022-34689