Zum Inhalt springen
Einblicke für Analysten: Laden Sie noch heute Ihr Exemplar des Gartner® Hype Cycle™ for Security Operations, 2024 Reports herunter! | Bericht abrufen
Beratung

Unauthentifizierter RCE in Veeam Backup & Replication [CVE-2024-40711]

Datum der Offenlegung: 4. September 2024

CVE-ID und CVSS-Score: CVE-2024-40711: CVSS 9.8 (kritisch)

Beschreibung: CVE-2024-40711 ist eine kritische, nicht authentifizierte Schwachstelle für Remote Code Execution (RCE) in der Software Veeam Backup & Replication. Bedrohungsakteure könnten beliebigen Code auf einem anfälligen System ohne Authentifizierung ausführen, was ein erhebliches Risiko für Unternehmen darstellt, die sich bei der Sicherung und dem Schutz von Daten auf Veeam verlassen.

Betroffene Assets: Veeam Backup & Replication ist eine Software, die Tools zum Erstellen von Backups von Daten und Systemen, zur Sicherstellung ihrer Wiederherstellbarkeit und zur Replikation an andere Standorte zum Schutz vor Datenverlust und Systemausfällen bereitstellt. Diese Sicherheitslücke betrifft Veeam Backup & Replication Version 12.1.2.172 und alle früheren Versionen.

Globale Karte der Censys-sichtbaren Veeam Backup & Replication Schnittstellen (erstellt mit Kepler.gl)

Auswirkungen der Schwachstelle: CVE-2024-40711 könnte es einem Angreifer ermöglichen, die vollständige Kontrolle über ein System zu erlangen, Daten zu manipulieren und sich möglicherweise seitlich innerhalb eines Netzwerks zu bewegen, was es zu einem relativ hochwertigen Ziel für Bedrohungsakteure macht. Diese Schwachstelle ist besonders besorgniserregend, da sie wahrscheinlich von Ransomware-Betreibern ausgenutzt wird, um Backup-Systeme zu kompromittieren und potenziell doppelte Erpressungsszenarien zu schaffen. Frühere Schwachstellen in Veeam Backup & Replication, wie z. B. CVE-2023-27532, die im Juli veröffentlicht wurden, wurden bereits von Ransomware-Gruppen wie EstateRansomware, Akira, Cuba und FIN7 für den Erstzugriff, den Diebstahl von Zugangsdaten und andere bösartige Aktivitäten ausgenutzt.

Details zur Ausnutzung: Obwohl derzeit nicht bekannt ist, ob CVE-2024-40711 aktiv ausgenutzt wird, deutet sein Potenzial, große Datenmengen zu extrahieren und laterale Bewegungen innerhalb von Netzwerken zu ermöglichen, darauf hin, dass es ein Ziel für Ransomware-Angriffe werden könnte.

Patch-Verfügbarkeit: Veeam hat Sicherheitspatches veröffentlicht, die CVE-2024-40711 sowie 5 weitere weniger schwerwiegende Sicherheitslücken in Veeam Backup & Replication Version 12.2.0.334 schließen. Benutzern wird dringend empfohlen, ihre Systeme zu aktualisieren.

Censys Ausblick: Veeam Backup & Replication ist mittlerweile in Unternehmensumgebungen weit verbreitet, so dass die potenziellen Auswirkungen dieser Schwachstelle erheblich sind. Unternehmen sollten sicherstellen, dass ihre Systeme auf die neueste Version aktualisiert werden, um sich vor einer Ausnutzung zu schützen.

Zum Zeitpunkt der Erstellung dieses Artikels beobachtet Censys , dass insgesamt 2.833 Veeam Backup & Replication Server im Internet gefährdet sind, vor allem in Deutschland und Frankreich. Beachten Sie, dass nicht alle diese Server unbedingt für dieses CVE anfällig sind.

Um alle exponierten Veeam Backup & Replication Server in Ihrem Netzwerk zu identifizieren, können die folgenden Censys Abfragen verwendet werden:

  • Censys Search Query: services.software: (vendor: “Veeam” and product: “Backup Server”) and not labels: {tarpit, honeypot, truncated}
  • Censys ASM-Abfrage: host.services.software: (Hersteller: "Veeam" und Produkt: "Backup Server") oder web_entity.instances.software: (Hersteller: "Veeam" und Produkt: "Backup Server")

Referenzen:

  1. https://www.veeam.com/kb4649
  2. https://code-white.com/public-vulnerability-list/#unauthenticated-remote-code-execution-in-backup-replication
  3. https://thehackernews.com/2024/09/veeam-releases-security-updates-to-fix.html

 

Lösungen für das Management von Angriffsflächen
Mehr erfahren