22 novembre 2024

Krusell France

Ta dose d'actu digital !

Découvrez la faille CVE-2024-40711 exploité par les ransomwares Akira et Fog.

Veeam - CVE-2024-40711 - Ransomware
Rate this post

La faille de sécurité CVE-2024-40711 présente dans Veeam Backup & Replication est désormais exploitée par deux gangs de ransomware : Akira et Fog. Faisons le point sur cette menace.

La faille CVE-2024-40711 dans Veeam Backup & Replication

Début septembre 2024, Veeam a corrigé plusieurs failles de sécurité dans ses produits, dont la CVE-2024-40711, présente dans sa solution de sauvegarde Backup & Replication. Associée à un score CVSS v3.1 de 9.8 sur 10, un attaquant peut l’exploiter pour exécuter du code à distance sur l’instance Veeam Backup & Replication, sans être authentifié.

Cette vulnérabilité a été divulguée le 4 septembre 2024 et un code d’exploitation public a été mis en ligne par watchTowr Labs le 15 septembre 2024. Cet exploit PoC a été publié une dizaine de jours plus tard afin de laisser le temps aux administrateurs de patcher leur serveur Veeam. De son côté, un chercheur en sécurité explique que cette vulnérabilité peut être exploitée facilement par les pirates.

La CVE-2024-40711 exploitée par les ransomwares

Dans le cadre d’opérations de réponse à incident, l’équipe de Sophos X-Ops est parvenue à identifier un lien entre la CVE-2024-40711 et les gangs de ransomware Akira et Fog. Pour l’accès initial à l’infrastructure cible, les pirates ont utilisé des accès VPN compromis, sur lesquels l’authentification multifacteurs n’était pas activée. Le serveur Veeam Backup & Replication a ensuite été ciblé sur le port 8000 afin d’atteindre “Veeam.Backup.MountService.exe”. Ceci a permis à l’attaquant de créer un compte local sur la machine et de l’ajouter aux groupes “Administrateurs” et “Utilisateurs du Bureau à distance”. Dans le cas du ransomware Fog, l’attaquant l’a déployé sur un serveur Hyper-V non protégé, puis a utilisé l’utilitaire rclone pour exfiltrer des données.

Ce n’est pas la première fois que des gangs de ransomware s’attaquent à la solution Veeam Backup & Recovery. Nous pouvons notamment citer les gangs Cuba et BlackBasta ainsi que la vulnérabilité CVE-2023-27532, patchée en mars 2023.

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications