Falha Crítica no Veeam (CVE-2024-40711): Ransomwares Intensificam Exploração com PoC Recente
Aumento de Ataques Ransomware Explora Vulnerabilidade Crítica no Veeam Backup & Replication (CVE-2024-40711)
Aqui está a versão enriquecida e detalhada do texto:
Em um alerta recente, a equipe Sophos X-Ops MDR e o time de Resposta a Incidentes revelaram um aumento significativo nos ataques de ransomware que exploram uma vulnerabilidade crítica no software Veeam Backup & Replication, identificada como CVE-2024-40711. No último mês, cibercriminosos têm se aproveitado dessa falha, em combinação com credenciais comprometidas, para criar contas não autorizadas e tentar implantar variantes perigosas de ransomware, como Fog e Akira. Organizações que utilizam o Veeam Backup & Replication estão sob forte recomendação de corrigir seus sistemas e reforçar imediatamente as defesas de acesso remoto.
A vulnerabilidade CVE-2024-40711, que recebeu uma pontuação de gravidade CVSS de 9,8, envolve uma falha de desserialização de dados não confiáveis. Essa brecha permite que invasores executem código remotamente, sem a necessidade de autenticação. Devido à sua gravidade, ela representa um risco elevado para qualquer organização que ainda não aplicou as correções necessárias. Essa vulnerabilidade foi identificada e analisada pela renomada pesquisadora de segurança Sina Kheirkhah (@SinSinology), da watchTowr. Sua pesquisa culminou na publicação de um exploit de prova de conceito (PoC), atraindo rapidamente a atenção da comunidade de segurança cibernética global e ampliando o risco de ataques.
Detalhes Técnicos da Exploração
Os atacantes podem explorar a falha CVE-2024-40711 por meio de uma URI específica, /trigger
, acessada pela porta 8000. Esse processo desencadeia a execução do serviço Veeam.Backup.MountService.exe
, que permite a criação de uma nova conta local chamada “point”. Essa conta é então adicionada aos grupos de usuários privilegiados, como “Administrators” e “Remote Desktop Users”, concedendo aos invasores controle elevado sobre o sistema comprometido. Esse acesso privilegiado abre as portas para uma série de atividades maliciosas, como a implantação de ransomware, comprometendo gravemente a segurança da infraestrutura da vítima.
Casos de Ataques Documentados
A Sophos X-Ops destacou diversos incidentes em que invasores exploraram essa vulnerabilidade em instâncias desatualizadas do Veeam Backup & Replication. Em um dos ataques observados, os invasores implantaram o ransomware Fog em um servidor Hyper-V desprotegido, enquanto em outro caso, ocorrido no mesmo período, tentaram distribuir o ransomware Akira. Ambos os incidentes foram rastreados até o comprometimento de gateways VPN, que estavam operando com versões desatualizadas do software ou sem a proteção de autenticação multifator (MFA).
Ransomware e Exfiltração de Dados
Os ataques de ransomware como Fog têm mostrado ser uma dupla ameaça. Além de criptografar dados, os invasores também utilizam ferramentas como o utilitário “rclone” para exfiltrar informações sensíveis dos sistemas comprometidos. No caso específico do ransomware Fog, os invasores não apenas criptografaram os arquivos, mas também roubaram uma quantidade significativa de dados corporativos, aumentando ainda mais o impacto financeiro e reputacional das empresas afetadas. Esse tipo de abordagem, conhecida como “double extortion” (dupla extorsão), coloca as vítimas sob pressão adicional para pagar o resgate, temendo a divulgação ou a venda de seus dados.
Reforçando a Segurança: Recomendações Urgentes
A Sophos sublinhou a importância de medidas preventivas robustas, especialmente no que diz respeito ao gerenciamento de gateways VPN, que têm se mostrado um ponto vulnerável crucial nesses ataques. Empresas que utilizam o Veeam Backup & Replication são aconselhadas a atualizar para a versão 12.2.0.334 ou posterior, que inclui os patches necessários para corrigir a falha CVE-2024-40711. Além disso, é essencial garantir que os gateways VPN estejam atualizados, totalmente suportados e que a autenticação multifator (MFA) esteja habilitada em todos os pontos de acesso remoto.
Essas práticas, combinadas com uma rigorosa política de segurança e monitoramento contínuo, são cruciais para reduzir o risco de ataques cibernéticos e proteger a integridade dos dados das organizações.
Conclusão
Com a publicação de um PoC e o aumento da exploração ativa da vulnerabilidade CVE-2024-40711 por ransomwares como Fog e Akira, é evidente que o cenário de ameaças está evoluindo rapidamente. Organizações que utilizam o Veeam Backup & Replication devem tratar essa vulnerabilidade como uma prioridade máxima e tomar medidas imediatas para proteger seus ambientes. A falha oferece um vetor de ataque potente, especialmente quando explorada em conjunto com credenciais comprometidas e sistemas desatualizados. Portanto, manter o software atualizado e fortalecer as defesas de acesso remoto são passos fundamentais para evitar que esses ataques comprometam a continuidade dos negócios e a segurança dos dados.