Selon Mandiant, un partenaire ransomware d'ALPHV recherche de plus en plus d'anciennes vulnérabilités dans les installations de sauvegarde Veritas. Les lacunes sont en fait connues depuis 2021 – mais beaucoup d'entre elles n'ont pas été corrigées. Il devrait actuellement être possible de trouver plus de 8.500 XNUMX instances de sauvegarde sur le Web.
Mandiant a observé un nouveau partenaire de ransomware ALPHV (alias BlackCat ransomware) suivi comme UNC4466 ciblant les installations publiques de Veritas Backup Exec pour les vulnérabilités CVE-2021-27876, CVE-2021-27877 et CVE -2021-27878 sont vulnérables. Ces CVE sont connus depuis mars 2021 et des correctifs sont également disponibles. Cependant, certains administrateurs n'ont pas encore implémenté les correctifs.
8.500 XNUMX instances Veritas Backup Exec dans le réseau
Un service d'analyse Internet commercial a identifié plus de 8.500 XNUMX installations d'instances Veritas Backup Exec actuellement accessibles via Internet. Il est possible que bon nombre de ces systèmes ne soient pas corrigés et donc vulnérables. Les précédentes attaques ALPHV étudiées par Mandiant reposaient principalement sur des identifiants volés. Cette attaque pourrait être un changement de cible en exploitant des vulnérabilités connues.
ALPHV est apparu en novembre 2021 en tant que ransomware-as-a-service, qui, selon certains chercheurs, est le successeur des ransomwares BLACKMATTER et DARKSIDE. Alors que certains opérateurs de rançongiciels ont émis des règles pour éviter d'avoir un impact sur les infrastructures critiques et les établissements de santé, ALPHV a continué à cibler ces industries sensibles.
Chronologie des vulnérabilités Veritas
- En mars 2021, Veritas a publié un avis signalant trois vulnérabilités critiques dans Veritas Backup Exec 16.x, 20.x et 21.x.
- Le 23 septembre 2022, un module METASPLOIT a été publié qui exploite ces vulnérabilités et crée une session à travers laquelle l'attaquant peut interagir avec le système victime.
- Le 22 octobre 2022, Mandiant a observé pour la première fois l'exploitation des vulnérabilités de Veritas dans la nature.
Les administrateurs doivent absolument vérifier leurs instances Veritas Backup Exec et combler les lacunes. Parce qu'il est de plus en plus courant que d'anciennes vulnérabilités non corrigées servent de passerelle pour les ransomwares et autres. La dernière attaque majeure sur les serveurs VMware ESXi a également été exploitée via une ancienne vulnérabilité dans des versions non modernisées ou corrigées.
Dans son blog, Mandiant montre la précision technique de l'attaque des vulnérabilités des installations de Veritas Backup Exec.
Plus sur Mandiant.com
À propos des clients Mandiant est un leader reconnu de la cyberdéfense dynamique, des renseignements sur les menaces et de la réponse aux incidents. Avec des décennies d'expérience sur la cyber ligne de front, Mandiant aide les organisations à se défendre en toute confiance et de manière proactive contre les cybermenaces et à répondre aux attaques. Mandiant fait désormais partie de Google Cloud.