Ransomware Groups Exploit Veeam Flaw CVE-2023-27532 in Nigerian Cyber Infrastructure
2024/09/19 SecurityOnline —
ナイジェリアの Computer Emergency Response Team (ngCERT) が、9月13日に緊急アドバイザリを公開した。この勧告は、ナイジェリア全土の重要なシステムを標的にするランサムウェア・グループに関するものであり、Veeam Backup and Replication (VBR) の深刻度の高い脆弱性 CVE-2023-27532 (CVSS 7.5) に焦点を当てたものとなっている。この脆弱性は、ナイジェリアのサイバー空間における最近のランサムウェア攻撃において、すでに悪用が確認されており、その中には Phobos ランサムウェア・グループによる巧妙なインシデントも含まれる。
脆弱性 CVE-2023-27532 は、VBR のバージョン 12 以下に影響を及ぼし、Veeam コンフィグ・データベースに保存されている、暗号/平文の認証情報などの機密データへの、攻撃者による不正アクセスを可能にしている。この欠陥により、攻撃者は権限を昇格させ、マルウェアをインストールするだけではなく、侵害したシステム上での任意のコード実行を可能にするという。
PoC:github/horizon3ai/CVE-2023-27532
この脆弱性の悪用に成功した攻撃者は、ポート TCP 9401 経由で Veeam Backup Service に接続し、適切な認証を必要とすること機密情報を抽出していく。こうして、管理者の認証情報を入手した攻撃者は、ネットワーク全体を侵害し、システムの乗っ取り/データ流出を実行し、最終的にはランサムウェア攻撃を展開する可能性を手にする。
先日には、Phobos ランサムウェア・グループが、ナイジェリアのクラウド・インフラを標的とする攻撃で、この Veeam の脆弱性の悪用に成功した。ネットワークに侵入した Phobos は、ランサムウェアを展開し、重要なデータを暗号化し、被害者に対して身代金の支払いを要求した。この一件が浮き彫りにするのは、政府機関/金融サービス/クラウド・プロバイダーなどの重要なセクターを標的とする、ランサムウェアの脅威が拡大している状況である。
ngCERT が、すべてのユーザーに対して強く推奨するのは、Veeam が提供する最新のパッチを直ちに適用して、悪用リスクを軽減することだ。それに加えて、下記のような、サイバー・セキュリティに対する多層的なアプローチを推奨している:
- バックアップとリカバリ:データの整合性とセキュリティを確保するために、バックアップとリカバリのプロセスを定期的に確認/更新する。
- タイムリーなアップデート:全ての OS/ソフトウェア/Web ブラウザを、最新の状態に保つ。
- 多要素認証 (MFA) の導入:VPN などのリモート・アクセス・サービスに、MFA を導入する。
- パッチ管理:既知の脆弱性に対応するために、厳格なパッチ管理ポリシーを実施する。
- ネットワークのセグメント化:重要なシステムをセグメント化し、厳格なファイアウォール・ルールで横移動を抑制する。
- アプリケーションの制御:承認されていないプログラムの実行を防止し、承認済みのセキュリティ・アプリケーションのみが使用されるようにする。
- 脅威の検出:EDR や NTA などのツールを導入し、疑わしい活動を検出して対応する。
- インシデント対応プランの実施:包括的なインシデント対応プランを策定し、維持する。
- アクセス制御:VBR 環境におけるアクセス制御と認証メカニズムを強化する。
この Veeam の脆弱性 CVE-2023-27532 ですが、第一報は 2023/03/08 の「Veeam の深刻な脆弱性 CVE-2023-27532 が FIX:認証情報の不正取得につながる」です。続いて 2023/03/23 には、「Veeam Backup & Replication の脆弱性 CVE-2023-27532:PoC エクスプロイトが登場」という記事がポストされています。表題にあるのはナイジェリアですが、アフリカや南米での攻撃は、予行演習だという説もあります。ご利用のチームは、ご注意ください。よろしければ、Veeam で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.