Kiberbűnözők aktívan próbálják kihasználni a Veeam Backup & Replication mostanra kijavított hibáját az Akira és Fog zsarolóvírusok terjesztésére. A Sophos kibervédelmi vállalat szerint az elmúlt hónapban számos támadást követtek nyomon, mely során VPN-hitelesítő adatokat törtek fel és a CVE-2024-40711-es (CVSS pontszám: 9.8) sebezhetőséget használták ki, hogy helyi fiókokat hozzanak létre és telepítsék a zsarolóvírusokat. Az azonosított sebezhetőség lehetővé teszi a hitelesítést nem igénylő, távoli kódfuttatást illetéktelenek részére. A Veeam a hibát a Backup & Replication 12.2-es verziójában, 2024 szeptember elején orvosolta.
A biztonsági rést Florian Hauser kutató, a német CODE WHITE vállalattól fedezte fel és jelentette. „Mindegyik esetben a támadók elsőként feltört VPN átjárókon keresztül fértek hozzá a célpontokhoz, amelyeken nem volt bekapcsolva a többfaktoros hitelesítés, illetve egyes VPN-ek nem támogatott szoftververziókat futtattak.” – nyilatkozta a Sophos. A támadók minden alkalommal a VEEAM-et használták ki a 8000-es porton lévő /trigger URI-n, ami a Veeam.Backup.MountService.exe-t a net.exe létrehozására késztette. A támadás során egy helyi „point” nevű felhasználói fiókot hoztak létre, amelyet hozzáadtak a helyi adminisztrátorok és távoli asztali felhasználók csoportjaihoz. A Fog zsarolóvírus telepítésének során a kiberbűnözők egy védtelen Hyper-V szerverre helyezték el a zsarolóvírust, miközben az rclone segédprogrammal adatokat exportáltak ki.
