CISA KEV 警告 24/10/17：Veeam の RCE 脆弱性 CVE-2024-40711 を追加

U.S. CISA adds Veeam Backup and Replication flaw to its Known Exploited Vulnerabilities catalog

2024/10/19 SecurityAffairs — Veeam Backup and Replication の脆弱性 CVE-2024-40711 (CVSS：9.8) が、米国の CISA の KEV (Known Exploited Vulnerabilities)カタログに追加された。10月11日の時点で Sophos の研究者たちが警告していたのは、Veeam Backup & Replication の脆弱性 CVE-2024-40711 を悪用する、ランサムウェアのオペレーターが不正なアカウントを作成し、マルウェアを展開していることだった。

その一方で Veeam は、2024年9月初旬において、Veeam Backup & Replication／Service Provider Console／One に存在する、18件の脆弱性に対処するセキュリティ・アップデートをリリースしている。その中で、最も深刻度の高い脆弱性が、Veeam Backup & Replication (VBR) の RCE 脆弱性 CVE-2024-40711 (CVSS v3.1：9.8) だった。

Veeam Backup & Replication は、包括的なデータ保護および災害復旧ソフトウェアであり、物理／仮想／クラウド環境全体で、データのバックアップ／復元／複製を可能にする。

この脆弱性 CVE-2024-40711 は、Veeam Backup & Replication 12.1.2.172 以下の、すべてのバージョン 12 builds に影響するものであり、CODE WHITE Gmbh のサイバーセキュリティ研究者である Florian Hauser により発見されている。

Sophos X-Ops の研究者たちが発見したのは、最近の攻撃において、侵害済の認証情報と CVE-2024-40711 が悪用され、Fog や Akira などのランサムウェアが展開されている状況である。この攻撃者は、多要素認証のない VPN  ゲートウェイを介して、つまり、古いソフトウェアを実行している VPN を介して、標的にアクセスしていた。一連の攻撃における兆候の類似点から、以前の Fog／Akira ランサムウェア攻撃に関連していることが判明した。

Sophos は Mastodon に公開した声明で、以下のように述べている：

Sophos — Sophos  X-Ops MDR／Incident Response は、これまでの１か月間において、侵害済の認証情報と Veeam の既知の脆弱性 CVE-2024-40711  を悪用してアカウントを作成し、ランサムウェア展開を試行する一連の攻撃を追跡してきた。

あるケースでは、攻撃者は Fog ランサムウェアをドロップしていた。その一方で、同じタイミングで発生した別の攻撃では、Akira ランサムウェアの展開が試みられていた。発見された、４つのケースで確認された兆候は、以前の Akira／Fog ランサムウェア攻撃と重複していることが判明した。いずれのケースにおいても、攻撃者は最初に、多要素認証が有効化されていない侵害済の VPN ゲートウェイを介して標的にアクセスした。これらの VPN の一部では、サポートが切れている古いソフトウェア・バージョンが使用されていた。— Sophos

この脅威アクターは、ポート 8000 の Veeam URI /triggerを悪用して net.exe を起動し、ローカル・アカウント “point” を作成した上で、それをローカル管理者とリモート・デスクトップ・ユーザーのグループに追加した。また、あるケースでは、攻撃者は保護されていない Hyper-V サーバに Fog ランサムウェアを展開し、データ抽出に rclone を使用していた。

Sophos は、「これらの事例が浮き彫りにするのは、既知の脆弱性に対するパッチ適用／サポート切れの VPN の更新や交換／リモート・アクセスを制御するための多要素認証などの重要性である。Sophos X-Ops は、この脅威の動きを継続的に追跡している」と締め括っている。

BOD (Binding Operational Directive) 22-01 により、2024年11月7日までに連邦政府機関は、KEV カタログに掲載された脆弱性からネットワークを保護するために、対処することが求められている。

さらに、専門家たちが民間組織に対して推奨するのは、このカタログをレビューすることで、インフラの脆弱性に対処することである。

Veeam Backup and Replication の脆弱性 CVE-2024-40711 ですが、2024/09/17 に「Veeam Backup & Replication の RCE 脆弱性 CVE-2024-40711：PoC エクスプロイトが提供」がポストされ、2024/10/10 には「Veeam の RCE 脆弱性 CVE-2024-40711：Akira／Fog ランサムウェアが悪用」されという状況です。そして、米国の連邦政府機関でも悪用が発見されたわけです。ご利用のチームは、十分に ご注意ください。よろしければ、Veeam Backup and Replication で検索も、ご参照ください。