Une Nouvelle Cible : La Vulnérabilité de Veeam Exploitée
Depuis mars 2024, une faille dans la solution Backup et Replication de Veeam, bien que corrigée, a été exploitée par un groupe de cybercriminels appelé EstateRansomware.
Selon une analyse réalisée par Group-IB, cette vulnérabilité connue sous le nom de CVE-2023-27532 a été une porte d’entrée pour ces malfaiteurs.
Cette faille, présente dans les versions antérieures à 12 et 11a de la solution Veeam, permettait à un utilisateur non authentifié de se connecter à un serveur sur le port TCP 9401. Une fois connecté, il pouvait extraire des informations d’identification stockées dans la base de données de configuration et potentiellement accéder au système hôte. Le scénario d’attaque typique comprenait l’accès initial via le VPN SSL du pare-feu FortiGate en utilisant un compte dormant, suivi du déploiement d’une porte dérobée persistante (« svchost.exe ») sur un serveur intermédiaire et des déplacements latéraux en utilisant le protocole RDP.
La récente analyse de Group-IB fournit des détails sur les méthodes utilisées par EstateRansomware. Ils ont activé la commande xp_cmdshell et créé des comptes d’utilisateurs fictifs. Pour la découverte du réseau et la collecte d’informations, ils ont fait usage d’outils tels que NetScan, AdFind et divers logiciels de NirSoft. Windows Defender a été désactivé de façon permanente à l’aide de DC.exe, et le ransomware a été déployé puis exécuté avec PsExec.exe.
Mesures de Protection Recommandées
Face à ce genre de menaces, il est crucial de prendre des mesures préventives pour protéger vos systèmes informatiques. Voici quelques recommandations issues de l’analyse de Group-IB :
- Auditer et Contrôler les Comptes : Effectuez des audits réguliers et supprimez ou désactivez les comptes dormants pour prévenir tout accès non autorisé.
- Mettre en Œuvre l’Authentification Multifactorielle (MFA) : Appliquez la MFA pour vos VPN et autres services d’accès à distance.
- Gérer les Correctifs : Assurez-vous que vos logiciels et firmwares sont à jour avec les derniers correctifs de sécurité pour combler les vulnérabilités connues.
- Segmenter les Systèmes Critiques : Appliquez des règles strictes de pare-feu pour limiter les déplacements latéraux dans le réseau.
- Limiter les Accès RDP : Désactivez les accès RDP inutiles et limitez-les à des adresses IP spécifiques et fiables.
- Contrôle des Applications : Empêchez l’exécution de programmes non autorisés et assurez-vous que seules les applications de sécurité approuvées soient utilisées et fonctionnelles.
- Détection et Réponse des Endpoints : Utilisez des solutions pour détecter les activités suspectes telles que le déploiement de portes dérobées et l’utilisation d’outils comme PsExec.
En mettant en place ces mesures, vous pouvez réduire significativement le risque d’une attaque similaire et renforcer la sécurité globale de votre infrastructure numérique.
Implications sécuritaires : Ce que vous devez savoir
L’exploitation de la vulnérabilité CVE-2023-27532 par EstateRansomware présente des risques significatifs pour les entreprises utilisant la solution Veeam Backup & Replication. Les cybercriminels peuvent facilement accéder aux informations sensibles des entreprises, perturbant ainsi les opérations quotidiennes et compromettant la sécurité des données. Une fois que les attaquants ont extrait les identifiants, ils peuvent se déplacer latéralement à travers le réseau interne, désactiver les mesures de sécurité existantes, et déployer des ransomwares, ce qui peut entraîner des pertes financières considérables, des atteintes à la réputation, et de potentiels litiges légaux.
Protégez-vous : Étapes clés contre les nouvelles vulnérabilités
Pour se protéger contre ces menaces, les entreprises doivent suivre les recommandations de Group-IB : auditez régulièrement vos comptes et désactivez ceux qui sont inactifs, mettez en œuvre une authentification multifactorielle pour les accès à distance, maintenez vos logiciels à jour avec les derniers correctifs, segmentez les systèmes critiques et contrôlez strictement les accès RDP. De plus, utilisez des solutions de détection et de réponse des endpoints pour surveiller les activités suspectes. Ces mesures proactives vous aideront à renforcer votre résilience face aux cyberattaques.
