password - login

Exploit para bug da Veeam permite o roubo de credenciais

Da Redação
26/03/2023

A Veeam lançou atualizações de segurança para resolver essa vulnerabilidade de alta gravidade no software de backup e replicação (VBR). Um código de exploração de prova de conceito (PoC) multiplataforma foi lançado para as versões V11 e V12 do VBR, por isso a empresa orienta os clientes que usam versões mais antigas a atualizar para proteger dispositivos vulneráveis.

A falha (CVE-2023-27532) afeta todas as versões do VBR e pode ser explorada por invasores não autenticados para violar a infraestrutura de backup após roubar credenciais de texto não criptografado e obter execução remota de código como sitema.

“Desenvolvemos patches para V11 e V12 para mitigar essa vulnerabilidade e recomendamos que atualizem suas instalações imediatamente”, alertou a empresa em comunicado.

A Veeam também compartilhou uma correção temporária para administradores que não puderem implantar imediatamente os patches, o que requer o bloqueio de conexões externas à porta TCP 9401 usando o firewall do servidor de backup para remover o vetor de ataque.

Segundo a empresa, o software VBR é usado por mais de 450 mil clientes em todo o mundo, incluindo 82% das empresas que compões a lista da Fortune 500 e 72% das 2 mil companhias globais.

Na quinta-feira passada, 23, pouco mais de duas semanas depois que a Veeam lançou os patches para o CVE-2023-27532, a equipe da Horizon3 publicou uma análise técnica da causa raiz dessa vulnerabilidade de alta gravidade. Os pesquisadores da fornecedora de soluções de cibersegurança lançaram um código de exploração de prova de conceito (PoC) multiplataforma que permite a obtenção de credenciais em texto sem formatação do banco de dados de configuração do VBR, explorando um endpoint de API não seguro.

“Lançamos nossa PoC no Github, que é construído no núcleo .NET e capaz de rodar no Linux, tornando-o acessível a um público mais amplo”, disse James Horseman, pesquisador de vulnerabilidades do Horizon3 ao BleepingCompter. “É importante observar que essa vulnerabilidade deve ser levada a sério e os patches devem ser aplicados o mais rápido possível para garantir a segurança de sua organização.”

Veja isso
Veeam corrige bug que permite violação de serviço de backup
Veeam corrige duas falhas com grau de criticidade CVSS 9.8

Na semana passada, os pesquisadores de segurança da Huntress compartilharam uma demonstração em vídeo de sua própria exploração de PoC, capaz de despejar credenciais de texto não criptografado e obter execução arbitrária de código por meio de chamadas de API adicionais que podem ser transformadas em armas.

Dos 2 milhões de endpoints executando seu software de agente, a Huntress disse que detectou mais de 7,5 mil hosts operando com o software VBR vulnerável a exploits CVE-2023-27532. Embora não haja relatos de operadores de ameaças aproveitando essa vulnerabilidade e nenhuma tentativa de explorá-la, os invasores provavelmente criarão suas próprias explorações com base no código PoC publicado pelos pesquisadores da Horizon3 para atingir os servidores Veeam expostos à internet.

Compartilhar: