Sumário Executivo
Recentemente, gangues de ransomware têm aproveitado uma vulnerabilidade crítica de segurança no software Veeam Backup & Replication (VBR), permitindo a execução remota de código (RCE). Identificada como CVE-2024-40711, essa falha coloca em risco a integridade dos dados de backup das organizações, afetando especialmente as que utilizam o VBR para proteção de dados e recuperação de desastres. O impacto da exploração dessa vulnerabilidade foi intensificado pelos ransomwares Akira e Fog, que já realizaram ataques utilizando essa falha.
1. Introdução à Vulnerabilidade CVE-2024-40711
A vulnerabilidade foi descoberta por Florian Hauser, da Code White, e está relacionada à desserialização de dados não confiáveis, tornando-se uma porta de entrada para agentes mal-intencionados sem autenticação. A Veeam lançou uma atualização de segurança em 4 de setembro de 2024 para corrigir essa falha. Logo após, o laboratório watchTowr Labs publicou uma análise técnica da vulnerabilidade, mas adiou a liberação do código de prova de conceito até 15 de setembro, dando tempo para que os administradores aplicassem as correções necessárias.
A falha em questão afeta diretamente o Veeam Backup & Replication, amplamente utilizado para a proteção de máquinas virtuais, físicas e na nuvem, tornando-se um alvo preferencial para grupos de ransomware, que veem nos dados de backup uma oportunidade valiosa para extorsão.
2. Ataques com Exploração da Vulnerabilidade
No mês passado, a Sophos X-Ops descobriu que a falha CVE-2024-40711 foi explorada rapidamente pelos ransomwares Akira e Fog, que utilizaram credenciais previamente comprometidas para adicionar contas maliciosas nos grupos de administradores e usuários de Área de Trabalho Remota. Em um dos incidentes investigados, os atacantes implantaram o ransomware Fog em um servidor Hyper-V vulnerável, usando o utilitário rclone para exfiltrar dados.
Esses ataques também tiveram como vetor inicial gateways VPN comprometidos, que estavam sem autenticação multifator habilitada, além de rodarem versões de software desatualizadas e sem suporte. Isso demonstra a importância da aplicação de boas práticas de segurança e da constante atualização dos sistemas.
Além disso, a falha foi detectada em ataques vinculados ao grupo de ameaças FIN7, conhecido por sua motivação financeira e envolvimento em grandes operações de ransomware, como Conti, REvil e Maze. Meses após a identificação da vulnerabilidade, essa mesma falha foi utilizada em ataques de ransomware direcionados a infraestruturas críticas dos EUA e empresas de TI na América Latina.
3. Recomendações
Para mitigar o impacto dessa vulnerabilidade e evitar que ataques como os realizados pelos ransomwares Akira e Fog continuem ocorrendo, são sugeridas as seguintes ações:
Atualização do Software:
Aplicar a versão 12.2.0.334 do Veeam Backup & Replication, que resolve a vulnerabilidade CVE-2024-40711.
Monitoramento de Canais Oficiais:
Acompanhar os canais de comunicação da Veeam para receber atualizações sobre novos patches e informações de segurança.
Restrição de Acesso:
Limitar o acesso ao software de backup apenas para usuários autorizados, minimizando o uso de credenciais de baixo nível.
Segmentação de Rede:
Implementar a segmentação da rede para isolar o software de backup do restante da infraestrutura, reduzindo o risco de movimento lateral no caso de comprometimento.
Auditorias Regulares:
Realizar auditorias periódicas de segurança para identificar e corrigir possíveis vulnerabilidades adicionais.
Educação e Treinamento da Equipe:
Treinar os profissionais de TI sobre as melhores práticas de segurança, especialmente sobre a importância da aplicação de patches de segurança de forma imediata.
Monitoramento de Logs e Alertas:
Configurar sistemas de monitoramento para detectar atividades suspeitas e responder rapidamente a tentativas de exploração.
4. Conclusão
A exploração da vulnerabilidade CVE-2024-40711 pelos ransomwares Akira e Fog demonstra a urgência de se adotar práticas de segurança robustas, especialmente em sistemas críticos como os de backup e replicação de dados. A rápida ação dos atacantes reforça a necessidade de manter os sistemas atualizados, monitorar acessos e educar as equipes de TI. A aplicação de patches e o uso de medidas preventivas são fundamentais para reduzir o impacto de ataques cibernéticos.
Referências:
Opmerkingen