Lỗ hổng nghiêm trọng cho phép lây lan mã độc tống tiền

Nam Anh Mai D.Nam Anh Mai D.
3 min read

Thống kê gần đây cho biết, tin tặc đang tích cực khai thác một lỗ hổng đang tồn tại trên sản phẩm Veeam Backup & Replication nhằm lây lan các mã độc tống tiền nguy hiểm như Akira hay Fog Ransomware.

Cụ thể, đội ngũ các nhà nghiên cứu bảo mật thuộc Sophos cho biết họ đã phát hiện số lượng lớn các vụ tấn công diễn ra trong tháng vừa qua. Điểm chung của các cuộc tấn công này là phương thức khai thác của tin tặc, chúng tận dụng các thông tin credential VPN và lỗ hổng CVE-2024-40711 để tạo một tài khoản local trên hệ thống nạn nhân, từ đó triển khai lan rộng mã độc ra phạm vi lớn hơn.

Thông tin CVE-2024-40711:

  • Mức độ nghiêm trọng: Critical

  • Điểm CVSS(3.1): 9.8

  • Phân loại lỗ hổng: Remote Code Execution

  • Mô tả: Các dữ liệu từ những nguồn không tin cậy bị loại bỏ thông qua những payload độc có thể được kẻ tấn công chưa xác thực lợi dụng và thực thi mã từ xa.

  • Phiên bản bị ảnh hưởng: 12.2

Phía Sophos chia sẻ, tin tặc cố gắng xâm nhập thông qua khai thác các thông tin credential VPN đã có. Chúng tập trung vào các VPN không sử dụng xác thực đa lớp hoặc các VPN đang chạy trên các phiên bản không còn nhận được sự hỗ trợ từ nhà phát hành phần mềm. Các cuộc tấn công nhắm tới Veeam thông qua URI hoặc nhắm tới cổng 8000 khiến Veeam.Backup.MountService.exe sinh ra tiến trình net.exe và tạo ra một tài khoản local trên hệ thống của nạn nhân, đồng thời thêm tài khoản này với phân quyền Administratos và Remote Desktop User.

Đối với các cuộc tấn công mục đích lây lan mã độc tống tiền Fog ransomware, tin tặc cần truyền mã độc tới các máy chủ Hyper-V chưa có biện pháp phòng thủ và sử dụng rclone làm công cụ để trích xuất dữ liệu. Tuy nhiên phương pháp này được cho là không thể triển khai đối với một số các mã độc tống tiền nguy hiểm khác.

Các ứng dụng sao lưu và khôi phục dữ liệu doanh nghiệp vốn là những mục tiêu có giá trị cao đối với tin tặc. Những lỗ hổng tồn tại trên các phần mềm này luôn được tích cực khai thác trên thực tiễn bởi các nhóm ransomware, cho thấy mức độ quan tâm của các nhóm này dành cho các lỗ hổng trên. Người dùng cần có các biện pháp khắc phục, cập nhật các bản vá lỗ hổng kịp thời nhằm tránh giảm thiểu tối đa khả năng đối diện với các nguy cơ mất an toàn thông tin cho hệ thống của mình.

Tham khảo

  1. NIST CVE-2024-40711: https://nvd.nist.gov/vuln/detail/CVE-2024-40711

  2. NHS England Report: https://digital.nhs.uk/cyber-alerts/2024/cc-4563

  3. InfoSec: https://infosec.exchange/@SophosXOps/113284564225476186

0
Subscribe to my newsletter

Read articles from Nam Anh Mai D. directly inside your inbox. Subscribe to the newsletter, and don't miss out.

threat intelligencefiscybersecveeamvulnerability

Written by

Nam Anh Mai D.
Nam Anh Mai D.