Mandiant'a göre, ALPHV'nin bir fidye yazılımı ortağı, Veritas yedekleme kurulumlarındaki eski güvenlik açıklarını giderek daha fazla arıyor. Boşluklar aslında 2021'den beri biliniyor - ancak çoğu yama yapılmadı. Şu anda web üzerinde 8.500'den fazla yedekleme örneği bulmak mümkün olmalıdır.
Mandiant, CVE-4466-2021, CVE-27876-2021 ve CVE -27877-2021 güvenlik açıkları için halka açık Veritas Backup Exec kurulumlarını hedefleyen UNC27878 olarak izlenen yeni bir ALPHV fidye yazılımı iş ortağının (aka BlackCat fidye yazılımı) savunmasız olduğunu gözlemledi. Bu CVE'ler Mart 2021'den beri bilinmektedir ve yamalar da mevcuttur. Ancak, bazı yöneticiler yamaları henüz uygulamadı.
Ağda 8.500 Veritas Backup Exec örneği
Ticari bir İnternet tarama hizmeti, şu anda İnternet üzerinden erişilebilen 8.500'den fazla Veritas Backup Exec bulut sunucusu kurulumu tanımladı. Bu sistemlerin çoğunun yamalanmamış olması ve bu nedenle savunmasız olması mümkündür. Mandiant tarafından araştırılan önceki ALPHV saldırıları, çoğunlukla çalınan kimlik bilgilerine dayanıyordu. Bu saldırı, bilinen güvenlik açıklarından yararlanarak hedefte bir değişiklik olabilir.
ALPHV, Kasım 2021'de bazı araştırmacıların BLACKMATTER ve DARKSIDE fidye yazılımının halefi olduğunu iddia ettiği bir hizmet olarak fidye yazılımı olarak ortaya çıktı. Bazı fidye yazılımı operatörleri, kritik altyapı ve sağlık tesislerini etkilemekten kaçınmak için kurallar yayınlarken, ALPHV bu hassas sektörleri hedeflemeye devam etti.
Veritas güvenlik açığı zaman çizelgesi
- Mart 2021'de Veritas, Veritas Backup Exec 16.x, 20.x ve 21.x'teki üç kritik güvenlik açığını bildiren bir danışma belgesi yayınladı.
- 23 Eylül 2022'de, bu güvenlik açıklarından yararlanan ve saldırganın kurban sistemle etkileşime geçebileceği bir oturum oluşturan bir METASPLOIT modülü yayınlandı.
- 22 Ekim 2022'de Mandiant, Veritas güvenlik açıklarının vahşi ortamlarda kullanıldığını ilk kez gözlemledi.
Yöneticiler mutlaka Veritas Backup Exec sunucularını kontrol etmeli ve açıkları kapatmalıdır. Çünkü eski, yama uygulanmamış güvenlik açıklarının fidye yazılımı ve benzerleri için bir ağ geçidi görevi görmesi giderek daha yaygın hale geliyor. VMware ESXi sunucularına yapılan son büyük saldırı, modernize edilmemiş veya yamalanmış sürümlerdeki eski bir güvenlik açığı aracılığıyla da istismar edildi.
Mandiant blogunda, Veritas Backup Exec kurulumlarındaki güvenlik açıklarına yapılan saldırının teknik olarak ne kadar doğru olduğunu gösteriyor.
Mandiant.com'da daha fazlası
müşteriler hakkında Mandiant, dinamik siber savunma, tehdit istihbaratı ve olay müdahalesinde tanınmış bir liderdir. Siber cephede onlarca yıllık deneyimiyle Mandiant, kuruluşların siber tehditlere karşı güvenle ve proaktif bir şekilde savunma yapmasına ve saldırılara yanıt vermesine yardımcı olur. Mandiant artık Google Cloud'un bir parçasıdır.