Veritas Backup の3つの脆弱性:ALPHV/BlackCat ランサムウェアの標的になっている

ALPHV/BlackCat ransomware affiliate targets Veritas Backup solution bugs

2023/04/04 SecurityAffairs — ALPHV/BlackCat ランサムウェア・ギャングのアフィリエイトである UNC4466 が、Veritas Backup の3つの脆弱性を悪用して、ターゲットのネットワークへのイニシャル・アクセスを取得していることが確認された。この UNC4466 は、他の ALPHV のアフィリエイトとは異なり、ターゲットの環境へのイニシャル・アクセスにおいて、盗み出した認証情報に依存していない。2022年10月22日に、Mandiant の研究者たちは、このアフィリエイトが Veritas の脆弱性をターゲットにしていることを初めて観測した。


このランサムウェア・ギャングのアフィリエイトが、悪用する脆弱性は下記の通りだ:

  • CVE-2021-27876 (CVSS:8.1):クライアントとエージェントの間の通信では、認証を成功させる必要があり、通常は、安全な TLS 通信で認証を完了させる。しかし攻撃者は、SHA 認証スキームの脆弱性を悪用することで不正アクセスで認証プロセスを完了させ、認証された接続上でデータ管理プロトコルのコマンド実行を可能にする。これらのコマンドを介して、細工された入力パラメータを用いる攻撃者は、システム権限でシステム上の任意のファイルにアクセスできるようになる。
  • CVE-2021-27877:  (CVSS:8.2): SHA 認証を含む複数の認証スキームをサポートする、Veritas Backup Exec 21.2 未満に存在する脆弱性である。この認証スキームは、現在のバージョンでは使用されていないが、無効化はされていない。このスキームの悪用に成功したリモートの攻撃者は、Agent に不正にアクセスし、特権コマンドを実行できる。
  • CVE-2021-27878:  (CVSS:8.8): Veritas Backup Exec 21.2 未満における脆弱性である。クライアントとエージェントの間の通信で認証に成功する必要があり、通常の場合は、安全な TLS 通信で完了する。しかし、この SHA 認証スキームの脆弱性により、攻撃者は不正なアクセスで認証プロセスを完了させ、認証された接続上でデータ管理プロトコルのコマンドを実行することが可能となる。これらのコマンドのいずれかを悪用する攻撃者は、システム特権によりシステム上で任意のコマンドを実行できる。

これらの3つの脆弱性は、2021年3月にリリースされたバージョン 21.2 で対処されたが、パブリック・エンドポイントでは、アップデートされていないケースが多い。研究者たちは、現時点でインターネットに公開されている Veritas Backup Exec インスタンスとして、8,500 以上のインストールを確認しており、そのうちのいくつかに、まだ脆弱性が残っている可能性があると述べている。

2022年9月以降において、Metasploit のような、特定のモジュールを持つペンテスト・フレームワークを使用することで、これらの脆弱性は容易に悪用できる。

Mandiant が発表した分析結果には、「2022年の後半に、UNC4466 は Metasploit モジュール “exploit/multi/veritas/beagent_sha_auth_rce” を使用して、Veritas Backup Exec 21.0 を実行しているインターネット露出の Windows サーバにアクセスした。その直後に、Metasploit の persistence モジュールが起動され、この侵入によるシステムへの永続的なアクセスを維持していた」と記されている。

このアフィリエイトは、ターゲットのネットワークへのアクセスに成功すると、内部偵察の一環として、正規の Famatech の Advanced IP Scanner と ADRecon ユーティリティを使用した。

その後に脅威アクターは、Background Intelligent Transfer Service (BITS) を使用して、LAZAGNE/LIGOLO/WINSW/RCLONE/ALPHV ランサムウェア・エクリプターなどの追加ツールをダウンロードした。

UNC4466 グループは、侵害されたシステムと通信するために、SOCKS5 トンネリングに依存している。脅威アクターは、この手法を実行するために、LIGOLO と REVSOCKS という2つのツールを使用した。

さらに、Mimikatz/LaZagne/Nanodump などの複数のクレデンシャル・アクセス・ツールを使用して、クリアテキストのクレデンシャルと資料を収集していた。

脅威アクターは、イベントログを消去し、組み込みの Set-MpPrefernce コマンドレットを使用して、Microsoft Defender のリアルタイム監視機能を無効化することで検知を回避している。

レポートには、この脅威に関する侵害の指標 (IoC:Indicators of Compromise) が含まれている。

Veritas Backup の、日本市場でのシェアは、どのくらいなのでしょうか。この日本語 HP には、小規模から中規模の企業に適したソリューションだと宣伝されています。また、このブログでは ALPHV は初登場ですが、BlackCat ランサムウェアに関しては、いくつかの記事があります。よろしければ、BlackCat で検索も、ご利用ください。