Securitybedrijf CloudSEK onthult drie kritieke kwetsbaarheden in Veeam Backup & Replication, een van de populairste backupoplossingen van het moment. De kwetsbaarheden zijn door meerdere cybercriminelen misbruikt.

Werk je met de meest recente versie van Backup & Replication, dan ben je veilig. Veeam loste de kwetsbaarheden in november 2021 op met softwareversie 11.0.1.1261. De details werden toentertijd geheimgehouden om te voorkomen dat cybercriminelen de informatie misbruikten voor aanvallen op gebruikers met verouderde softwareversies.

Het laatste blijft een risico, want sommige gebruikers zijn nog steeds niet up-to-date. CloudSEK, de ontdekker van de kwetsbaarheden, vindt de situatie inmiddels veilig genoeg om de details te onthullen. Op 24 oktober publiceerde het securitybedrijf een rapport over drie kritieke kwetsbaarheden in Veeam Backup & Replication.

Drie kwetsbaarheden

Twee van de kwetsbaarheden (CVE-2022-26500 en CVE-2022-26501) stellen cybercriminelen in staat om code op afstand uit te voeren, ook wel bekend als remote code execution. Aanvallers hebben geen inloggegevens nodig om binnen te komen. Vandaar ontvingen de kwetsbaarheden een zeldzame CVSS-score van 9,8.

Ook de derde kwetsbaarheid (CVE-2022-26504) maakt het mogelijk om code op afstand uit te voeren. De voorwaarde is dat een aanvaller over domeingegevens beschikt. Vandaar ontving de kwetsbaarheid een lagere CVSS-score van 8.8.

In de praktijk

Veeam Backup & Replication is een van de populairste backupoplossingen van het moment. Securityonderzoekers vinden regelmatig kwetsbaarheden in populaire softwareproducten, maar actief misbruikte kwetsbaarheden zijn zeldzaam. Het is dan ook verontrustend dat diverse cybercriminelen de kwetsbaarheden in Veeam Backup & Replication hebben misbruikt.

Onderzoekers van CloudSEK vonden meerdere advertenties waarin cybercriminelen aanboden om gebruikers van Veeam Backup & Replication-gebruikers aan te vallen met maatwerk tools. Daarnaast stuitten de onderzoekers op een GitHub repository met scripts voor het ontsleutelen van Veeam-wachtwoorden.

Volgens de onderzoekers hebben de scripts verband met de kwetsbaarheden. Cybercriminelen kunnen de kwetsbaarheden onder andere misbruiken om inlogdatabases van Veeam Backup & Replication-gebruikers te stelen. De gegevens van de database zijn versleuteld. De scripts werden ontwikkeld om de versleuteling te omzeilen.

Daarnaast vermoeden de onderzoekers dat de kwetsbaarheden door twee ransomwaregroepen zijn misbruikt: Monti en Yanluowang. Beide groepen werkten in het verleden met ‘Veeamp’, een malwarevariant die de gebruikersnamen en wachtwoorden van een slachtoffer massaal naar een externe SQL database verplaatst. Het is mogelijk dat Monti en Yanluowang de malwarevariant ontwikkelden om de kwetsbaarheden uit te buiten.

Voorkomen

Zoals eerdergenoemd loste Veeam de kwetsbaarheden in november 2021 op met softwareversie 11.0.1.1261. Sindsdien is elke versie veilig. De informatie in het rapport van CloudSEK is bruikbaar voor cybercriminelen. Hackers kunnen het rapport als handleiding volgen om organisaties met verouderde versies aan te vallen. Gebruikt jouw organisatie een kwetsbare versie, dan is het raadzaam om zo snel mogelijk te updaten.

Tip: N-able wil met Cove Data Protection concurreren met Veeam, Datto en Commvault Metallic