Los investigadores de WithSecure emitieron una alerta después de descubrir evidencia de que una notoria banda de delincuentes cibernéticos está explotando una vulnerabilidad recientemente revelada en el software de respaldo y recuperación de datos Veeam Backup & Replication para acceder a las redes de sus víctimas.
Rastreada como CVE-2023-27532, la vulnerabilidad de Veeam se publicó por primera vez el 7 de marzo de 2023. Permite que un usuario no autenticado que haya accedido al perímetro de la red de la infraestructura de respaldo tenga en sus manos credenciales cifradas almacenadas en la base de datos de configuración, lo que en última instancia puede conducir a ellos obteniendo acceso a los hosts de infraestructura de respaldo.
Está clasificado como un error de gravedad alta y tiene una puntuación CVSS v3 de 7,5. Existe en el proceso Veeam.Backup.Service.exe de Veaam Backup & Replication, Veeam Cloud Connect, Veeam Cloud Connect para empresas y Veeam Backup & Replication Community Edition.
“WithSecure Intelligence identificó ataques que ocurrieron a fines de marzo de 2023 contra servidores conectados a Internet que ejecutan el software Veeam Backup & Replication”, escribieron los analistas de WithSecure Neeraj Singh y Mohammad Kazem Hassan Nejad.
“Nuestra investigación indica con gran confianza que el conjunto de intrusión utilizado en estos ataques es coherente con las actividades atribuidas al grupo de actividad FIN7. Es probable que el acceso inicial y la ejecución se lograran a través de una vulnerabilidad de Veeam Backup & Replication recientemente parcheada, CVE-2023-27532”, explicaron.
“Nuestra investigación indica con gran confianza que el conjunto de intrusión utilizado en estos ataques es coherente con las actividades atribuidas al grupo de actividad FIN7. Es probable que el acceso inicial y la ejecución se lograron a través de una vulnerabilidad de Veeam Backup & Replication recientemente parcheada, CVE-2023-27532”
Neeraj Singh y Mohammad Kazem Hassan Nejad, WithSecure
FIN7 es un operador financiero prolífico y peligroso que ha implementado múltiples variedades de ransomware en sus ataques, incluidos BlackCat/ALPHV, BlackMatter, DarkSide y, en un momento, REvil, después de pasar a la extorsión por el robo de datos de tarjetas de pago hace unos tres años.
El grupo puede tener vínculos con múltiples ataques cibernéticos recientes de alto perfil, incluido el atraco en desarrollo en el subcontratista del sector público del Reino Unido Capita, el gigante de sistemas de pagos NCR y la Universidad Tecnológica de Munster en Irlanda. No hay indicios en el momento de escribir este artículo de que alguna de estas intrusiones implicara la explotación del compromiso de Veeam.
El 28 de marzo de 2023, Singh y Nejad dijeron que vieron actividad en varios servidores conectados a Internet que ejecutaban Veeam Backup & Replication, en los que un proceso de servidor SQL relacionado con la instancia de copia de seguridad ejecutó un comando de shell, que realizó la descarga en memoria y la ejecución de un Guión de PowerShell.
Se sabe que FIN7 es particularmente aficionado al lenguaje de secuencias de comandos de PowerShell: Mandiant describió una vez a PowerShell como el “lenguaje de amor” de la pandilla, y en esta ocasión, todas las instancias de las secuencias de comandos de PowerShell que se vieron fueron Powertrash, un cargador ofuscado directamente atribuido a FIN7.
Powertrash en sí mismo se usa para ejecutar varios payloads, incluidos, entre otros, los viejos “favoritos” como el malware Carbanak, con el que FIN7 originalmente se hizo famoso, y por supuesto el ubicuo Cobalt Strike, pero esta vez usaron Diceloader (también conocido como Lizar ) para hacerse un hueco.
Singh y Nejad dijeron que si bien se desconocía el método exacto que FIN7 usó para invocar el comando de shell inicial, probablemente se logró a través del error de Veeam, en función de una serie de factores:
Todos los servidores afectados tenían el puerto TCP abierto 9401, utilizado para la comunicación con Veeam Backup Service sobre SSL expuesto a Internet, y se observó actividad de red con direcciones IP externas en dicho puerto justo antes de que se invocara el comando shell.
La vulnerabilidad se corrigió unas semanas antes y su explotación requiere acceso al puerto 9401.
Ninguno de los servidores afectados había sido reparado contra el error de Veeam.
El 23 de marzo circulaba un exploit de prueba de concepto que contiene la misma cadena de ejecución que se ve en esta campaña.
Los observadores de WithSecure dijeron que también vieron actividad sospechosa en los servidores afectados el 24 de marzo, lo que creen que puede haber sido evidencia de que FIN7 estaba realizando un escaneo de vulnerabilidades a gran escala para encontrar servidores en riesgo.
Una vez dentro, dijeron, FIN7 usó una serie de comandos y scripts personalizados para comenzar a recopilar datos sobre sus objetivos, y ejecutó una serie de comandos SQL para robar información de la base de datos de respaldo de Veeam, además de recuperar las credenciales almacenadas y usarlas para intento de movimiento lateral.
En última instancia, es posible que estos puntos de apoyo se hayan convertido en ataques de ransomware, y con la ausencia de parches o una conciencia generalizada, algunos aún pueden hacerlo.
Sin embargo, según Singh y Nejad, la probable rareza de los servidores de respaldo de Veeam con el puerto TCP 9401 expuesto públicamente significa que el alcance del incidente probablemente sea limitado.
La vulnerabilidad se resuelve con las compilaciones 12 (12.0.0.1420 P20230223) y 11a (11.0.1.1261 P20230227) de Veeam Backup & Replication. Como solución temporal, los usuarios que operan un dispositivo Veeam todo en uno sin componentes de infraestructura de respaldo remoto pueden bloquear las conexiones externas al puerto TCP 9401 en el firewall del servidor de respaldo hasta que puedan instalar el parche.
