แสดงบทความที่มีป้ายกำกับ veeam แสดงบทความทั้งหมด
แสดงบทความที่มีป้ายกำกับ veeam แสดงบทความทั้งหมด

11/11/2567

พบช่องโหว่ RCE ระดับ Critical ของ Veeam กำลังถูกกลุ่ม Frag Ransomware นำไปใช้โจมตีเป้าหมาย


    Florian Hauser ผู้เชี่ยวชาญด้านความปลอดภัยของ Code White พบช่องโหว่ CVE-2024-40711 บน Veeam Backup & Replication (VBR) ซึ่งถูกกลุ่ม Frag Ransomware นำไปใช้ในการโจมตีหลังจากที่ก่อนหน้านี้ได้พบว่ากลุ่ม Akira และ Fog Ransomware ได้โจมตีช่องโหว่ดังกล่าวเช่นเดียวกัน
    CVE-2024-40711 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ Deserialization ของข้อมูลที่ไม่น่าเชื่อถือ ซึ่งทำให้ผู้ไม่ประสงค์ดีที่ไม่ผ่านการยืนยันตัวตน สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) บน Veeam VBR servers ได้
    watchTowr Labs ซึ่งเผยแพร่รายงานการวิเคราะห์ทางเทคนิคเกี่ยวกับช่องโหว่ CVE-2024-40711 เมื่อวันที่ 9 กันยายน 2024 ได้เลื่อนการเผยแพร่ชุดสาธิตการโจมตีช่องโหว่ (Proof-of-Concept (PoC)) ออกไปจนถึงวันที่ 15 กันยายน 2024 เพื่อให้ผู้ดูแลระบบมีเวลาเพียงพอในการอัปเดตแพตซ์ด้านความปลอดภัยที่ออกโดย Veeam เมื่อวันที่ 4 กันยายน 2024
    การเลื่อนเวลาเผยแพร่ข้อมูลช่องโหว่ออกไป เกิดจากซอฟต์แวร์ VBR ของ Veeam เป็นเป้าหมายยอดนิยมของผู้ไม่ประสงค์ดีที่ต้องการเข้าถึงข้อมูลสำรองของบริษัทอย่างรวดเร็ว เนื่องจากธุรกิจหลายแห่งใช้ซอฟต์แวร์นี้เป็นโซลูชันการกู้คืนระบบจากเหตุฉุกเฉิน และการปกป้องข้อมูลเพื่อสำรองข้อมูล, กู้คืน และจำลองเครื่องเสมือน, เครื่องจริง และคลาวด์
    ทั้งนี้ทีม Sophos X-Ops incident responder ระบุว่า การเลื่อนการเผยแพร่ชุดสาธิตการโจมตีช่องโหว่ ลดผลกระทบได้เพียงเล็กน้อยเท่านั้น โดยพบว่ากลุ่ม Akira และ Fog Ransomware ได้เริ่มโจมตีเป้าหมายด้วยช่องโหว่ RCE ร่วมกับข้อมูล VPN gateway credentials ที่ขโมยมาเพื่อเพิ่มบัญชีปลอมในกลุ่ม local Administrators และกลุ่ม Remote Desktop Users บนเซิร์ฟเวอร์ที่ยังไม่ได้อัปเดตแพตซ์ และเปิดให้เข้าถึงได้จากอินเทอร์เน็ต
    ล่าสุด Sophos X-Ops incident responder ยังค้นพบอีกว่ามีกลุ่มผู้ไม่ประสงค์ดี"STAC 5881" ได้ใช้ช่องโหว่ CVE-2024-40711 ในการโจมตีเป้าหมาย ซึ่งนำไปสู่การเรียกใช้ Frag Ransomware บนเครือข่ายที่ถูกโจมตี


    บริษัท Agger Labs ซึ่งเป็นบริษัทด้านการรักษาความปลอดภัยไซเบอร์ของอังกฤษระบุว่า กลุ่ม Frag Ransomware ที่เพิ่งถูกเปิดเผยเมื่อไม่นานมานี้ ได้ใช้ไฟล์ไบนารี Living Off The Land (LOLBins) ในการโจมตี ซึ่งเป็นซอฟต์แวร์ปกติที่มีให้ใช้อยู่แล้วในระบบที่ถูกโจมตี ทำให้มีความท้าทายมากยิ่งขึ้นในการตรวจจับการโจมตี
    รวมถึงยังมีวิธีการโจมตีที่คล้ายกับกลุ่ม Akira และ Fog Ransomware โดยมุ่งเป้าไปที่ช่องโหว่ที่ยังไม่ได้รับการแก้ไข และการกำหนดค่าที่ไม่ถูกต้องในโซลูชันการสำรองข้อมูล และการจัดเก็บข้อมูลระหว่างการโจมตี
    ในเดือนมีนาคม 2023 Veeam ได้แก้ไขช่องโหว่ VBR ที่มีระดับความรุนแรงสูงอีกช่องโหว่หนึ่ง (CVE-2023-27532) ที่ทำให้ผู้ไม่ประสงค์ดีสามารถเจาะระบบโครงสร้างพื้นฐานการสำรองข้อมูลได้ ต่อมาช่องโหว่ดังกล่าว ก็ได้ถูกใช้ในการโจมตีที่เชื่อมโยงกับกลุ่ม FIN7 รวมถึงได้ถูกนำไปใช้ในการโจมตีด้วย Cuba ransomware ที่กำหนดเป้าหมายไปยังองค์กรโครงสร้างพื้นฐานที่สำคัญของสหรัฐอเมริกา

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

12/06/2567

ช่องโหว่ร้ายแรงใน Veeam Backup Enterprise Manager ที่ถูกเปิดเผย

 


            มีช่องโหว่ร้ายแรง (CVE-2024-29849) ใน Veeam Backup Enterprise Manager (VBEM) ช่องโหว่นี้ทำให้ผู้ไม่ประสงค์ดีสามารถโจมตีเข้าควบคุม VBEM โดยไม่ต้องใช้รหัสผ่าน ซึ่งหมายความว่าผู้ไม่ประสงค์ดีสามารถลบหรือทำลายการสำรองข้อมูล ขโมยข้อมูลสำคัญ และติดตั้งมัลแวร์บนระบบ
รายละเอียดช่องโหว่ Veeam Backup Enterprise Manager (VBEM)

            นักวิจัยด้านความปลอดภัยไซเบอร์ Sina Kheirkha ได้อธิบายรายละเอียดทางเทคนิคของช่องโหว่นี้ ดังนี้

            บริการที่ได้รับผลกระทบ

                        'Veeam.Backup.Enterprise.RestAPIService.exe' - บริการนี้ทำงานบนพอร์ต TCP 9398 ทำหน้าที่เป็นเซิร์ฟเวอร์ REST API สำหรับเว็บแอปพลิเคชันหลักของ VBEM

            วิธีการโจมตี

                        ผู้ไม่ประสงค์ดีใช้ Veeam API เพื่อส่ง Token พิเศษเลียนแบบการรับรองความถูกต้องแบบ single-sign-on (SSO) ของ VMware ไปยังบริการ VBEM ที่มีช่องโหว่

            Token ปลอม ประกอบด้วยสองส่วน

                        คำขออนุญาตปลอมแปลงเป็นผู้ดูแลระบบ

                        URL ของบริการ SSO ซึ่ง Veeam ไม่ได้ตรวจสอบความถูกต้อง

            การยืนยันปลอม

                        Token ที่เข้ารหัสแบบ base64 จะถูกถอดรหัสและแปลงเป็นรูปแบบ XML

                        ระบบ VBEM จะส่งคำขอ SOAP ไปยัง URL ที่ผู้ไม่ประสงค์ดีควบคุม เพื่อยืนยันความถูกต้องของ Token

                        เซิร์ฟเวอร์ปลอมที่ผู้ไม่ประสงค์ดีสร้างขึ้น จะตอบกลับคำขอว่าถูกต้องเสมอ



        ผลของการโจมตี

                        เนื่องจากได้รับการตอบกลับยืนยันปลอม VBEM จึงยอมรับ Token และอนุญาตสิทธิ์การเข้าถึงระดับผู้ดูแลระบบแก่ผู้ไม่ประสงค์ดี

            ตัวอย่างการโจมตี

                        บทความวิจัยของ Kheirkha สาธิตขั้นตอนการโจมตีทั้งหมด รวมถึงการตั้งค่าเซิร์ฟเวอร์ปลอม การส่ง Token ปลอม, และการดึงรายการเซิร์ฟเวอร์ไฟล์เพื่อเป็นหลักฐานความสำเร็จ

การรับมือกับช่องโหว่ Veeam Backup Enterprise Manager (VBEM)

                        แม้ว่ายังไม่มีรายงานการโจมตีช่องโหว่นี้ (CVE-2024-29849) ในระบบจริง แต่การที่มีวิธีการโจมตีเผยแพร่สาธารณะ ก็มีความเสี่ยงที่สถานการณ์จะเปลี่ยนแปลงเร็วๆ นี้ ดังนั้น การอัปเดต Veeam Backup Enterprise Manager (VBEM) เป็นเวอร์ชัน 12.1.2.172 หรือใหม่กว่า

            สำหรับผู้ดูแลระบบที่ไม่สามารถอัปเดต VBEM ทันที ควรปฏิบัติตามคำแนะนำเหล่านี้

            จำกัดการเข้าถึงเว็บอินเตอร์เฟส VBEM

                        อนุญาตให้เฉพาะที่อยู่ IP ที่เชื่อถือได้เท่านั้นเข้าถึง VBEM ผ่านการกำหนดค่าเครือข่าย

            ใช้ Policy Firewall  

                        ตั้งค่ากฎเพื่อบล็อกการเข้าถึงพอร์ตที่บริการ Veeam ใช้ เช่น พอร์ต 9398 สำหรับ REST API

            เปิดใช้งานการรับรองความถูกต้องแบบหลายปัจจัย (MFA)

                        กำหนดให้บัญชีผู้ใช้ทั้งหมดที่เข้าถึง VBEM ต้องใช้ MFA เพื่อเพิ่มความปลอดภัย

            ใช้ Web Application Firewall (WAF)

                        ติดตั้ง WAF เพื่อช่วยตรวจจับและบล็อกการโจมตีที่มุ่งเป้าไปยัง VBEM

            ตรวจสอบบันทึกการเข้าถึง

                         ตรวจสอบบันทึกการเข้าถึง VBEM อย่างสม่ำเสมอเพื่อหาความพยายามเข้าถึงที่น่าสงสัยหรือไม่ได้รับอนุญาต ตั้งค่าการแจ้งเตือนเมื่อมีการพยายามเข้าสู่ระบบจากที่อยู่ IP ที่ไม่น่าเชื่อถือ

            แยกเซิร์ฟเวอร์ VBEM

                        แยกเซิร์ฟเวอร์ VBEM ออกจากระบบสำคัญอื่นๆ ภายในเครือข่าย เพื่อลดความเสี่ยงกรณีผู้โจมตีสามารถเข้าถึง VBEM แล้วแพร่กระจายไปยังระบบอื่นๆ

โดยสรุป: ช่องโหว่นี้เกี่ยวข้องกับการปลอมแปลง Token  SSO เพื่อหลอกระบบ VBEM ให้ยอมรับและอนุญาตสิทธิ์การเข้าถึงระดับผู้ดูแลระบบแก่ผู้ไม่ประสงค์ดี และการอัปเดต VBEM เป็นวิธีการป้องกันที่ดีที่สุด แต่หากยังไม่สามารถอัปเดตได้ ควรปฏิบัติตามคำแนะนำเหล่านี้เพื่อลดความเสี่ยง



Ref : bleepingcomputer


ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

27/05/2567

Veeam แจ้งเตือนช่องโหว่ Authentication bypass ระดับ Critical บน Backup Enterprise Manager


    Veeam แจ้งเตือนผู้ใช้งานให้ทำการแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งทำให้ผู้ไม่ประสงค์ดีไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถลงชื่อเข้าใช้บัญชีใด ๆ ผ่านทาง Veeam Backup Enterprise Manager (VBEM)
  •     Veeam Backup Enterprise Manager (VBEM) เป็น web-based platform ที่ช่วยให้ผู้ดูแลระบบสามารถจัดการการติดตั้ง Veeam Backup & Replication ผ่านเว็บคอนโซลเดียว ทำให้สามารถควบคุมการสำรองข้อมูล และดำเนินการกู้คืนข้อมูลใน backup infrastructure และ large-scale deployment
  •     ช่องโหว่ CVE-2024-29849 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ใน Veeam Backup Enterprise Manager ที่ทำให้ผู้ไม่ประสงค์ดีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถเข้าสู่ระบบเว็บอินเตอร์เฟสของ Veeam Backup Enterprise Manager ในฐานะผู้ใช้รายใดก็ได้
    ทั้งนี้ Veeam ระบุว่า VBEM ไม่ได้เปิดใช้งานเป็นค่าเริ่มต้น ผู้ใช้จำเป็นต้องเปิดใช้งานเอง จึงทำให้ช่องโหว่ดังกล่าวไม่ได้ส่งผลกระทบกับอุปกรณ์ทั้งหมด
    Veeam ระบุว่า หากผู้ดูแลระบบไม่สามารถอัปเกรดเป็น VBEM เวอร์ชัน 12.1.2.172 ได้ในทันที ให้ทำการปิดใช้งานบริการ VeeamEnterpriseManagerSvc (Veeam Backup Enterprise Manager) และ VeeamRESTSvc (Veeam RESTful API) รวมถึงหากไม่ได้ใช้งาน สามารถถอนการติดตั้ง Veeam Backup Enterprise Manager เพื่อลดความเสี่ยงจากการถูกโจมตี

    นอกจากนี้ Veeam ยังได้แก้ไขช่องโหว่ VBEM ที่มีระดับความรุนแรงสูง 2 รายการ ได้แก่ CVE-2024-29850 ช่องโหว่ account takeover ผ่าน NTLM relay และ CVE-2024-29851 ช่องโหว่ที่ช่วยให้ผู้ใช้งานที่มีสิทธิ์สูงสามารถขโมย NTLM hash ของบัญชีบริการ Veeam Backup Enterprise Manager

การโจมตีช่องโหว่ Veeam ด้วย Ransomware
    ในเดือนมีนาคม 2023 Veeam ได้แก้ไขช่องโหว่ที่มีระดับความรุนแรงสูง (CVE-2023-27532) ใน Backup & Replication software อาจนำไปใช้ในการโจมตี backup infrastructure host ซึ่งช่องโหว่ดังกล่าวถูกใช้ในการโจมตีของกลุ่ม FIN7 ที่เกี่ยวข้องกับกลุ่ม ransomware ต่าง ๆ เช่น Conti, REvil, Maze, Egregor และ BlackBasta รวมถึงพบกลุ่ม Cuba ransomware ได้ใช้ช่องโหว่ดังกล่าวในการกำหนดเป้าหมายการโจมตีไปที่โครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ และบริษัทไอทีในละตินอเมริกา
    และในเดือนพฤศจิกายน 2023 Veeam ได้แก้ไขช่องโหว่ระดับ Critical 2 รายการ ใน ONE IT infrastructure monitoring and analytics platform ได้แก่ ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (CVE-2023-38547) และช่องโหว่ในการขโมย NTLM hash (CVE-2023-38548) จากเซิร์ฟเวอร์ที่มีช่องโหว่ (ด้วยคะแนน CVSS 9.8 และ 9.9/10)

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,
สมัครสมาชิก: บทความ (Atom)