Date de divulgation: 4 septembre 2024
CVE-ID et score CVSS: CVE-2024-40711 : CVSS 9.8 (Critique)
Description: CVE-2024-40711 est une vulnérabilité critique d'exécution de code à distance (RCE) non authentifiée dans le logiciel Veeam Backup & Replication. Les acteurs de la menace peuvent exécuter du code arbitraire sur un système vulnérable sans authentification, ce qui pose un risque important pour les organisations qui s'appuient sur Veeam pour la sauvegarde et la protection de leurs données.
Biens affectés: Veeam Backup & Replication est un logiciel qui fournit des outils pour créer des sauvegardes de données et de systèmes, s'assurer qu'elles peuvent être restaurées, et les répliquer vers d'autres emplacements pour la protection contre la perte de données et les défaillances du système. Cette vulnérabilité affecte la version 12.1.2.172 de Veeam Backup & Replication et toutes les versions antérieures.
Carte globale des interfaces Veeam Backup & Replication visibles sur Censys(créée avec Kepler.gl)
Impact de la vulnérabilité: CVE-2024-40711 pourrait permettre à un attaquant de prendre le contrôle total d'un système, de manipuler des données et de se déplacer latéralement au sein d'un réseau, ce qui en fait une cible de valeur relativement élevée pour les acteurs de la menace. Cette vulnérabilité est particulièrement préoccupante car elle est susceptible d'être exploitée par des opérateurs de ransomware pour compromettre les systèmes de sauvegarde et potentiellement créer des scénarios de double extorsion. Des vulnérabilités antérieures dans Veeam Backup & Replication, telles que la CVE-2023-27532 divulguée en juillet dernier, ont déjà été exploitées par des groupes de ransomware tels que EstateRansomware, Akira, Cuba , et FIN7 pour un accès initial, un vol de crédences, et d'autres activités malveillantes.
Détails de l'exploitation: Bien que l'on ne sache pas actuellement si CVE-2024-40711 est activement exploité, son potentiel d'extraction de grands volumes de données et de déplacement latéral au sein des réseaux suggère qu'il pourrait devenir une cible pour les attaques par ransomware.
Disponibilité du correctif: Veeam a publié des correctifs de sécurité adressant CVE-2024-40711, ainsi que 5 autres vulnérabilités de moindre sévérité dans Veeam Backup & Replication version 12.2.0.334. Il est fortement conseillé aux utilisateurs de mettre à jour leurs systèmes.
Censys Perspective: A ce jour, Veeam Backup & Replication est largement utilisé dans les environnements d'entreprise, ce qui rend l'impact potentiel de cette vulnérabilité significatif. Les organisations devraient s'assurer que leurs systèmes sont mis à jour avec la dernière version afin de se protéger contre l'exploitation.
A l'heure où nous écrivons ces lignes, Censys observe 2.833 serveurs totaux Veeam Backup & Replication exposés sur Internet, concentrés en Allemagne et en France. Il est à noter que tous ces serveurs ne sont pas nécessairement vulnérables à ce CVE.
Pour identifier tous les serveurs Veeam Backup & Replication exposés sur votre réseau, les requêtes suivantes Censys peuvent être utilisées :
- Censys Search Query: services.software: (vendor: “Veeam” and product: “Backup Server”) and not labels: {tarpit, honeypot, truncated}
- Censys ASM Query: host.services.software : (vendor : "Veeam" and product : "Backup Server") or web_entity.instances.software : (vendor : "Veeam" and product : "Backup Server")
Références :
- https://www.veeam.com/kb4649
- https://code-white.com/public-vulnerability-list/#unauthenticated-remote-code-execution-in-backup-replication
- https://thehackernews.com/2024/09/veeam-releases-security-updates-to-fix.html
