Fecha de divulgación: 4 de septiembre de 2024
CVE-ID y puntuación CVSS: CVE-2024-40711: CVSS 9.8 (Crítico)
Descripción: CVE-2024-40711 es una vulnerabilidad crítica de ejecución remota de código (RCE) no autenticada en el software Veeam Backup & Replication. Los actores de amenazas podrían ejecutar código arbitrario en un sistema vulnerable sin autenticación, lo que supone un riesgo significativo para las organizaciones que confían en Veeam para la copia de seguridad y protección de datos.
Activos afectados: Veeam Backup & Replication es un software que proporciona herramientas para crear copias de seguridad de datos y sistemas, garantizar que puedan restaurarse y replicarlas en otras ubicaciones para protegerlas frente a la pérdida de datos y los fallos del sistema. Esta vulnerabilidad afecta a la versión 12.1.2.172 de Veeam Backup & Replication y a todas las versiones anteriores.
Mapa global de las interfaces de Veeam Backup & Replication visibles en Censys(creado con Kepler.gl)
Impacto de la vulnerabilidad: CVE-2024-40711 podría permitir a un atacante obtener el control total de un sistema, manipular datos y, potencialmente, moverse lateralmente dentro de una red, lo que lo convierte en un objetivo de valor relativamente alto para los actores de amenazas. Esta vulnerabilidad es particularmente preocupante porque es probable que sea explotada por los operadores de ransomware para comprometer los sistemas de copia de seguridad y potencialmente crear escenarios de doble extorsión. Vulnerabilidades anteriores en Veeam Backup & Replication, como la CVE-2023-27532 revelada en julio, ya han sido explotadas por grupos de ransomware como EstateRansomware, Akira, Cuba y FIN7 para acceso inicial, robo de credenciales y otras actividades maliciosas.
Detalles de la explotación: Aunque actualmente se desconoce si CVE-2024-40711 está siendo explotado activamente, su potencial para extraer grandes volúmenes de datos y permitir el movimiento lateral dentro de las redes sugiere que podría convertirse en un objetivo para los ataques de ransomware.
Disponibilidad de parches: Veeam ha publicado parches de seguridad que abordan CVE-2024-40711, junto con otras 5 vulnerabilidades de menor gravedad en la versión 12.2.0.334 de Veeam Backup & Replication. Se recomienda encarecidamente a los usuarios que actualicen sus sistemas.
Censys Perspectiva: A partir de ahora, Veeam Backup & Replication se utiliza ampliamente en entornos empresariales, lo que hace que el impacto potencial de esta vulnerabilidad sea significativo. Las organizaciones deben asegurarse de que sus sistemas están actualizados a la última versión para protegerse contra la explotación.
En el momento de escribir estas líneas, Censys observa 2.833 servidores Veeam Backup & Replication totales expuestos en Internet, concentrados en Alemania y Francia. Nótese que no todos ellos son necesariamente vulnerables a esta CVE.
Para identificar todos los servidores de Veeam Backup & Replication expuestos en su red, se pueden utilizar las siguientes consultas de Censys :
- Censys Search Query: services.software: (vendor: “Veeam” and product: “Backup Server”) and not labels: {tarpit, honeypot, truncated}
- Censys Consulta ASM: host.services.software: (vendor: "Veeam" and product: "Backup Server") or web_entity.instances.software: (vendor: "Veeam" and product: "Backup Server")
Referencias:
- https://www.veeam.com/kb4649
- https://code-white.com/public-vulnerability-list/#unauthenticated-remote-code-execution-in-backup-replication
- https://thehackernews.com/2024/09/veeam-releases-security-updates-to-fix.html
