Kode eksploitasi lintas platform kini tersedia untuk kerentanan Layanan Pencadangan dengan tingkat keparahan tinggi yang berdampak pada perangkat lunak Pencadangan & Replikasi (VBR) Veeam.
Cacat (CVE-2023-27532) memengaruhi semua versi VBR dan dapat dieksploitasi oleh penyerang yang tidak diautentikasi untuk melanggar infrastruktur cadangan setelah mencuri kredensial cleartext dan mendapatkan eksekusi kode jarak jauh sebagai SYSTEM.
Veeam merilis pembaruan keamanan untuk mengatasi kerentanan ini pada VBR V11 dan V12 pada tanggal 7 Maret, menyarankan pelanggan yang menggunakan rilis lama untuk memutakhirkan guna mengamankan perangkat rentan yang menjalankan rilis yang tidak didukung.
“Kami telah mengembangkan tambalan untuk V11 dan V12 untuk mengurangi kerentanan ini dan kami menyarankan Anda untuk segera memperbarui instalasi Anda,” perusahaan itu memperingatkan.
Perusahaan juga membagikan perbaikan sementara untuk admin yang tidak dapat segera menerapkan tambalan, yang memerlukan pemblokiran koneksi eksternal ke port TCP 9401 menggunakan firewall server cadangan untuk menghapus vektor serangan.
Veeam kata perangkat lunak VBR-nya digunakan oleh lebih dari 450.000 pelanggan di seluruh dunia, termasuk 82% perusahaan Fortune 500 dan 72% dari Global 2.000.
Hari ini, lebih dari dua minggu setelah Veeam merilis patch CVE-2023-27532, Tim Serangan Horizon3 menerbitkan analisis akar masalah teknis untuk kerentanan tingkat tinggi ini.
Mereka juga merilis lintas platform kode exploit proof-of-concept (PoC). yang memungkinkan memperoleh kredensial dalam teks biasa dari database konfigurasi VBR dengan menyalahgunakan titik akhir API yang tidak aman.
”Kami telah merilis POC kami di Github, yang dibangun di atas inti .NET dan mampu berjalan di Linux, membuatnya dapat diakses oleh khalayak yang lebih luas,” peneliti kerentanan Horizon3 James Horseman dikatakan.
“Penting untuk dicatat bahwa kerentanan ini harus ditanggapi dengan serius dan tambalan harus diterapkan sesegera mungkin untuk memastikan keamanan organisasi Anda.”
Minggu lalu, peneliti keamanan Huntress berbagi a video demo eksploitasi PoC mereka sendiri mampu membuang kredensial teks-jelas dan mencapai eksekusi kode arbitrer melalui panggilan API tambahan yang dapat dipersenjatai.
“Sementara dump kredensial yang tidak diautentikasi bertindak sebagai vektor untuk pergerakan lateral atau pasca-eksploitasi, kerentanan yang dimaksud juga dapat digunakan untuk eksekusi kode jarak jauh yang tidak diautentikasi – mengubah instance Veeam yang rentan itu sendiri menjadi vektor untuk akses awal atau kompromi lebih lanjut,” Huntress Peneliti keamanan lab John Hammond menjelaskan.
Dari 2 juta titik akhir yang menjalankan perangkat lunak agennya, Huntress mengatakan telah mendeteksi lebih dari 7.500 host yang menjalankan perangkat lunak Veeam Backup & Replication yang rentan terhadap eksploitasi CVE-2023-27532.
Meskipun tidak ada laporan tentang aktor ancaman yang memanfaatkan kerentanan ini dan tidak ada upaya untuk mengeksploitasinya secara liar, penyerang kemungkinan akan membuat eksploit mereka sendiri berdasarkan kode PoC yang diterbitkan oleh peneliti Horizon3 untuk menargetkan server Veeam yang terpapar Internet.
