Mandiant によると、ALPHV のランサムウェア パートナーは、Veritas バックアップ インストールの古い脆弱性をますます探しています。 ギャップは実際には 2021 年から知られていましたが、それらの多くは修正されていません。 現在、Web 上で 8.500 を超えるバックアップ インスタンスを見つけることができるはずです。
Mandiant は、脆弱性 CVE-4466-2021、CVE-27876-2021、および CVE-27877-2021 に対して、公開されている Veritas Backup Exec インストールを標的とする UNC27878 として追跡されている新しい ALPHV ランサムウェア パートナー (別名 BlackCat ランサムウェア) を観察しました。 これらの CVE は 2021 年 XNUMX 月から知られており、パッチも利用できます。 ただし、一部の管理者はまだパッチを実装していません。
ネットワーク内の 8.500 の Veritas Backup Exec インスタンス
商用のインターネット スキャン サービスは、現在インターネット経由でアクセス可能な Veritas Backup Exec インスタンスの 8.500 以上のインストールを特定しました。 これらのシステムの多くはパッチが適用されていないため、脆弱である可能性があります。 Mandiant が調査した以前の ALPHV 攻撃は、主に盗まれた資格情報に依存していました。 この攻撃は、既知の脆弱性を悪用してターゲットを変更する可能性があります。
ALPHV は 2021 年 XNUMX 月にサービスとしてのランサムウェアとして登場しました。一部の研究者は、BLACKMATTER および DARKSIDE ランサムウェアの後継であると主張しています。 一部のランサムウェア オペレーターは、重要なインフラストラクチャや医療施設への影響を回避するための規則を発行していますが、ALPHV はこれらの機密性の高い業界を引き続き標的にしています。
Veritas 脆弱性タイムライン
- 2021 年 16 月、ベリタスは、Veritas Backup Exec 20.x、21.x、および XNUMX.x の XNUMX つの重大な脆弱性を報告するアドバイザリをリリースしました。
- 23 年 2022 月 XNUMX 日に、これらの脆弱性を悪用し、攻撃者が被害者のシステムとやり取りできるセッションを作成する METASPLOIT モジュールがリリースされました。
- 22 年 2022 月 XNUMX 日、Mandiant は Veritas の脆弱性が実際に悪用されていることを初めて確認しました。
管理者は必ず Veritas Backup Exec インスタンスをチェックして、ギャップを埋める必要があります。 パッチが適用されていない古い脆弱性が、ランサムウェアなどのゲートウェイとして機能することがますます一般的になっているためです。 VMware ESXi サーバーに対する最後の大規模な攻撃も、最新化されていないバージョンまたはパッチが適用されていないバージョンの古い脆弱性を利用して悪用されました。
Mandiant はそのブログで、Veritas Backup Exec インストールの脆弱性に対する攻撃が技術的にいかに正確であるかを示しています。
詳細は Mandiant.com で
クライアントについて Mandiant は、動的なサイバー防御、脅威インテリジェンス、インシデント対応のリーダーとして認められています。 サイバー最前線での数十年の経験を持つ Mandiant は、組織が自信を持ってプロアクティブにサイバー脅威を防御し、攻撃に対応できるよう支援します。 Mandiant は現在、Google Cloud の一部です。