Aviso sobre amenazas de ciberseguridad:

Aviso sobre amenazas de ciberseguridad:

Vulnerabilidad de Veeam Backup

La vulnerabilidad de Veem Backup & Replication, CVE-2023-27532, que fue parcheada en marzo 2023, todavía se está explotando. Los atacantes han logrado explotar sistemas sin parches para lanzar ataques de Ransomware desde abril 2024.

¿Cuál es la amenaza?

CVE-2023-27532 es una vulnerabilidad de escalada de privilegios con una puntuación CVSS de 7,5. Una operación de Ransomware incipiente conocida como EstateRansomware ha estado utilizando una variante de LockBit 3.0 para cifrar archivos y borrar registros, lo que dificulta la recuperación del ataque sin copias de seguridad. La explotación de esta falla plantea riesgos importantes, ya que permite a los atacantes realizar movimientos laterales dentro de la red, desactivar Windows Defender y finalmente, implementar Ransomware.

El Ransomware utilizado tiene los siguientes indicadores de compromiso (IOC):

  • Intentos inusuales de inicio de sesión de VPN desde direcciones IP, en particular (149)–(28)-(106)-(252).
  • Presencia de una cuenta de usuarios fraudulenta llamada “VeeamBkp”.
  • Ejecución del backdoor “svchost.exe” como tarea programada.
  • Uso de herramientas de escaneo de red y recolección de credenciales como las utilidades NetScan, AdFind y Nirsoft.
  • Deshabilitacion de Windows Defender usando DC.exe (Control de Defender).
  • Las conexiones de red activas en el servidor de conmutación por error a la dirección IP (77)-(238)-(245)-(11). A través de un puerto poco común 30001 confirmaron una dirección de comando y control (C2).
  • Implementación y ejecución de Ransomware con LB3.exe y PSExec.exe.

¿Por qué es de relevancia?

Cualquier dispositivo Veeam Backup sin parches es susceptible, lo que permite a los atacantes realizar movimientos laterales dentro de la red. Explotar vulnerabilidad puede otorgar a los atacantes acceso a las credenciales utilizadas para las copias de seguridad, comprometiendo potencialmente datos restaurados. Está vulnerabilidad ha sido aprovechada por atacantes de Ransomware como EstateRansomware y Akira Ransomware para obtener acceso inicial a las redes de destino. No está claro cuantas víctimas han sido afectadas por el Malware de bloqueo de datos de EstateRansomware hasta la fecha.

¿Cuál es el riesgo?

Dado que la variante LockBit 3.0 utilizada en estos ataques cifra archivos y borra registros, es especialmente importante garantizar que se preserve la integridad de la copia de seguridad disponible para garantizar una recuperación exitosa del ataque. Además, una explotación exitosa de la vulnerabilidad Veeam CVE-2023-27532 permite a los atacantes realizar reconocimientos como el descubrimiento de redes, la recolección de credenciales, realizar movimientos laterales y otras actividades, además de afectar los mecanismos de defensa de una organización.

Recomendaciones

Las siguientes medidas a realizar son recomendadas para mitigar de mejor manera esta vulnerabilidad:

  • Actualice Veeam Backup & Replication a la version 12/11a o posterior. Consulte Veeam KB4581.
  • Verifique periódicamente si hay signos de compromiso, como la creación de cuentas no autorizadas y la presencia de tareas programadas no autorizadas.
  • Implementar la deteccion y respuesta de endpoins (EDR) Barracuda XDR para detectar y responder actividades sospechosas, como la implementación de “backdoors” y el uso de herramientas como PSExec.
  • Elimine o desactive cualquier cuenta inactiva para evitar el acceso no autorizado. Implemente la autenticación Multifactor (MFA) para VPN y otros servicios de acceso remoto.
  • Aislé los sistemas críticos y los servidores de respaldo de la red principal para limitar el movimiento lateral de los atacantes.
  • Mantengan copia de seguridad periódicas fuera de línea y asegúrese de que no estén conectadas a la red principal para evitar que el Ransomware las cifre.

Acércate a nosotros para brindarte más información de nuestro programa de canales:  

JR

Regresar al blog