Le autorità federali degli Stati Uniti, insieme all’Health Sector Cybersecurity Coordination Center, hanno pubblicato un avviso riguardante gli attacchi contro l’applicazione Backup & Replication di Veeam (VBR).
L’avviso di sicurezza mette in guardia le organizzazioni che fanno uso della soluzione di backup di Veeam per le proprie macchine virtuali dall’aumento di attacchi contro l’applicazione, invitandole a installare le patch risolutive.
Gli attaccanti, il gruppo FIN7, affiliato a Conti, REvil e BlackBasta, sfruttano una vulnerabilità dell’applicazione per accedere alle macchine ed eseguire codice remoto; la vulnerabilità (CVE-2023-27532) consente infatti agli attaccanti di ottenere le credenziali dal database di configurazione e utilizzarle per ottenere l’accesso all’intera infrastruttura.
Pixabay
Oltre a quelle di FIN7, i ricercatori di sicurezza hanno individuato altre attività malevole mirate ai server che eseguivano l’applicazione. I cybercriminali hanno preso di mira le versioni vulnerabili di VBR per riuscire a introdursi nei sistemi. Non si conoscono le esatte intenzioni degli attacchi, ma in caso di successo gli attaccanti riuscirebbero a eseguire ransomware e sottrarre dati.
Veeam ha affermato che la vulnerabilità colpisce tutte le versioni del software e al momento il bug è stato risolto solo nelle build 12 e 11a. L’azienda consiglia prima di tutto di aggiornare l’applicazione a una delle due versioni (le uniche supportate) e poi installare la patch.
Tutte le applicazioni VBR con versione 12 e 11a installate con le immagini ISO datate rispettivamente 23 e 27 maggio (o successive) sono già aggiornate.
Se si utilizza un’appliance Veeam all-in-one senza componenti di backup remoto è possibile bloccare le connessioni esterne sulla porta TCP 9401 nel backup server firewall come soluzione temporanea finché non viene installata la patch.
Pixabay
L’Health Sector Cybersecurity Coordination Center e l’Office of Information Security insistono sulla pericolosità della vulnerabilità: ciò che la rende particolarmente grave è che, oltre che per il backup e il ripristino delle macchine virtuali, VBR viene usata dalle imprese per proteggere e ripristinare file e applicazioni per ambienti quali Microsoft Exchange e SharePoint, usanti nel settore della sanità pubblica.
Per questo motivo le autorità consigliano di prestare massima attenzione a ogni attività sospetta e mantenere i sistemi aggiornati con le patch ufficiali del vendor.
Condividi l’articolo
Articoli correlati
Altro in questa categoria
https://www.securityinfo.it/2023/06/06/aumentano-gli-attacchi-contro-la-soluzione-di-backup-di-veeam/?utm_source=rss&utm_medium=rss&utm_campaign=aumentano-gli-attacchi-contro-la-soluzione-di-backup-di-veeam