За словами Mandiant, партнер ALPHV, який займається програмами-вимагачами, все частіше шукає старі вразливості в резервних копіях Veritas. Насправді прогалини відомі з 2021 року, але багато з них не були виправлені. Наразі в Інтернеті можна знайти понад 8.500 резервних копій.
Mandiant виявив уразливості нового партнера щодо програм-вимагачів ALPHV (також відомої як програма-вимагач BlackCat), яка відстежується як UNC4466 і націлена на публічні інсталяції Veritas Backup Exec. Уразливі CVE-2021-27876, CVE-2021-27877 і CVE -2021-27878. Ці CVE відомі з березня 2021 року, також доступні виправлення. Однак деякі адміністратори ще не впровадили виправлення.
8.500 екземплярів Veritas Backup Exec у мережі
Комерційна служба сканування в Інтернеті виявила понад 8.500 інсталяцій екземплярів Veritas Backup Exec, які зараз доступні через Інтернет. Цілком можливо, що багато з цих систем не мають виправлень і тому вразливі. Попередні атаки ALPHV, які розслідував Mandiant, в основному покладалися на вкрадені облікові дані. Ця атака може бути зміною цілі шляхом використання відомих уразливостей.
ALPHV з’явився в листопаді 2021 року як програмне забезпечення-вимагач як послуга, яке, як стверджували деякі дослідники, є наступником програм-вимагачів BLACKMATTER і DARKSIDE. Хоча деякі оператори програм-вимагачів випустили правила, щоб уникнути впливу на критично важливу інфраструктуру та заклади охорони здоров’я, ALPHV продовжує націлюватися на ці чутливі галузі.
Графік уразливостей Veritas
- У березні 2021 року Veritas випустила пораду, у якій повідомлялося про три критичні вразливості у Veritas Backup Exec 16.x, 20.x і 21.x.
- 23 вересня 2022 року був випущений модуль METASPLOIT, який використовує ці вразливості та створює сеанс, через який зловмисник може взаємодіяти з системою-жертвою.
- 22 жовтня 2022 року Mandiant вперше спостерігав використання вразливостей Veritas у дикій природі.
Адміністратори обов’язково повинні перевірити свої екземпляри Veritas Backup Exec і усунути прогалини. Оскільки старі, невиправлені вразливості стають все більш поширеними як шлюзи для програм-вимагачів тощо. Остання велика атака на сервери VMware ESXi також була використана через стару вразливість у немодернізованих або виправлених версіях.
У своєму блозі Mandiant показує, наскільки технічно точною є атака на вразливості в інсталяціях Veritas Backup Exec.
Більше на Mandiant.com
Про клієнта Mandiant є визнаним лідером у сфері динамічного кіберзахисту, аналізу загроз та реагування на інциденти. Маючи десятиліття досвіду на кіберфронтовій лінії, Mandiant допомагає організаціям впевнено та проактивно захищатися від кіберзагроз і реагувати на атаки. Тепер Mandiant є частиною Google Cloud.