Nu patchen! ALPHV-ransomware sluipt door back-upslots van Veritas

Om veiligheidsredenen moeten beheerders die Veritas Backup Exec gebruiken om back-ups te maken, de toepassing zo snel mogelijk bijwerken. Aanvallers maken momenteel gebruik van drie kwetsbaarheden en kunnen na succesvolle aanvallen schadelijke code uitvoeren.

kwetsbaarheden

De kwetsbaarheden (CVE-2021-27876, CVE-2021-27877, CVE-2021-27878) bevinden zich allemaal op het dreigingsniveau.hoogKlasse Beveiligingsupdates in de vorm van Versie 21.2 Van Veritas Backup Exec Reeds beschikbaar sinds maart 2021. Zoals Mandiant nu in een rapport Implementatie Sinds september 2022 is er een module speciaal ontworpen om kwetsbaarheden in de Metasploit-toolkit uit te buiten voor beveiligingsonderzoekers. Volgens Mandiant merkte ik na een maand de eerste aanvallen op Windows-servers.

De aanvallers zouden zich richten op openbaar toegankelijke exemplaren van Veritas Backup Exec. Volgens beveiligingsonderzoekers zijn meer dan 8.500 installaties online toegankelijk. Sommigen van hen zouden nog steeds zwak zijn – ze geven op dit moment geen exact aantal. Ook is op dit moment niet bekend in welke mate de aanslagen plaatsvinden.

Aanvallers kunnen ongeoorloofde toegang krijgen tot instanties vanwege fouten in SHA-authenticatie. Hoe dat in zijn werk gaat, leggen de onderzoekers niet in detail uit.

Ongeoorloofde toegang

Als de aanvallers zich in het systeem bevinden, moeten ze verschillende tools zoals ADRecon gebruiken om netwerkinformatie te verzamelen voor verdere voortgang. In het extra vak moeten ze onder meer toegangsgegevens vastleggen met Mimikatz. Uiteindelijk installeerden ze volgens Mandiant de ALPHV-ransomware, die gegevens versleutelt en losgeld vraagt.

(naar)