سلسلة من الثغرات الأمنية في المنتجات التي تصنعها مورد برامج النسخ الاحتياطي والاسترداد Veeamوتتسبب الثغرات الأمنية الجديدة، التي تم الكشف عنها وتصحيحها في 4 سبتمبر/أيلول 2024، في دق ناقوس الخطر في مجتمع الأمن السيبراني.
تركز المشكلة الأكثر إلحاحًا على أحد العيوب الأكثر خطورة التي قامت Veeam بإصلاحها، والتي تم تعقبها باسم CVE-2024-40711، وهي ثغرة تنفيذ التعليمات البرمجية عن بعد (RCE) في Veeam Backup & Replication.
اكتشفه الباحث فلوريان هاوزر من Code White، ويحمل درجة CVSS حرجة تبلغ 9.8. وفي بيان أدلى به عبر شبكة التواصل الاجتماعي X، وقال كود وايت لم يتم تقديم التفاصيل الفنية الكاملة للمشكلة في الوقت الحالي، بسبب إمكانية الاستغلال.
في الواقع، إن التهديد المحتمل من CVE-2024-40711 هو الذي يسبب أكبر قدر من القلق في الوقت الحالي. وفقًا للبيانات الصادرة عن صائدو التهديدات في Censysهناك ما يقرب من 3000 خادم Veeam Backup & Replication متاحة للإنترنت العام – ويبدو أن أغلبها موجود في فرنسا وألمانيا.
وقال فريق Censys: “هذه الثغرة الأمنية مثيرة للقلق بشكل خاص لأنها من المحتمل أن يتم استغلالها من قبل مشغلي برامج الفدية لاختراق أنظمة النسخ الاحتياطي وإنشاء سيناريوهات ابتزاز مزدوجة”.
“تم استغلال الثغرات الأمنية السابقة في Veeam Backup & Replication، مثل CVE-2023-27532 التي تم الكشف عنها في شهر يوليو، من قبل مجموعات برامج الفدية مثل EstateRansomware وAkira وCuba وFIN7 للوصول الأولي وسرقة بيانات الاعتماد وغيرها من الأنشطة الضارة.”
الفريق في Rapid7قالت شركة كاسبرسكي لاب، التي كانت تقوم أيضًا بتمشيط بيانات القياس عن بعد في شبكتها بحثًا عن حالات محتملة للاستغلال، إنه اعتبارًا من يوم الاثنين 9 سبتمبر، لم تكن على علم بأي نشاط ضار يركز على CVE-2024-40711.
ومع ذلك، في إطار ملاحظة احترازية مماثلة لتلك التي اتخذها أقرانهم، قال فريق Rapid7: “إن Veeam Backup & Replication يتمتع ببصمة نشر كبيرة، ومع ذلك، فقد تم استغلال العديد من الثغرات الأمنية السابقة التي أثرت على البرنامج في البرية، بما في ذلك من قبل مجموعات برامج الفدية”.
وفقًا لبيانات Rapid7، فإن أكثر من 20% من حالات الاستجابة للحوادث التي استجابت لها الشركة هذا العام حتى الآن تضمنت الوصول إلى بعض عناصر Veeam أو استغلالها، على الرغم من أن هذا يحدث عادةً بمجرد وجود المهاجم بالفعل في بيئة الضحية.
كما تم الكشف عن خمسة ثغرات أمنية أخرى في النسخ الاحتياطي والتكرار، بما في ذلك العديد من الثغرات التي تمكن المهاجم الذي يتحكم في حساب ذي امتيازات منخفضة من تنفيذ إجراءات ضارة مختلفة بما في ذلك إيقاف تشغيل المصادقة متعددة العوامل، واستخراج بيانات الاعتماد والبيانات الأخرى، وتحقيق RCE. وقد تم إصلاحها جميعًا في النسخ الاحتياطي والتكرار 12.2 (الإصدار 12.2.0.334) ويجب على المستخدمين تطبيق التصحيحات في أقرب وقت ممكن.
بالإضافة إلى ذلك، أصدرت Veeam إصلاحات للعيوب في Veeam Agent for Linux، وVeeam ONE، وVeeam Service Provider Console، وVeeam Backup plugins لـ Nutanix AHV، وOracle Linux Virtualisation، وRed Hat Virtualisation.
