Veeam、Backup & Replication(VBR)における重大なRCE脆弱性について警告:CVE-2024-40711
BleepingComputer – September 5, 2024
Veeamが2024年9月のセキュリティブレティンをリリースし、複数製品における計18件の脆弱性に対処。いずれも深刻度が「Critical」または「High」に分類されているが、中でもVeeam Backup & Replication(VBR)の脆弱性CVE-2024-40711は、認証されていない攻撃者によるRCEを可能にし得るもので特に緊急度が高いとされる。
CVE-2024-40711については認証不要で悪用可能なRCEの脆弱性であるということ以外、現時点でほとんど詳細は明かされていない。ただ、CVSSスコア(v3.1)が9.8と高く、評価が「Critical」であることに加え、VBRの脆弱性といえば過去にCubaランサムウェアグループや脅威グループFIN7などに悪用されてきたことから、速やかな対応は必須と思われる。
関連記事:
なお、VBRはエンタープライズ向けのバックアップインフラ管理・保護に使われる製品。企業のデータ保護において重要な役割を果たしており、ラテラルムーブメントを行う上での足がかりに使えることから、ランサムウェアオペレーターたちにとっては格好の標的となっている。
このほか、今回リリースされたVBRバージョン12.2.0.334では以下の脆弱性も修正されている。
- CVE-2024-40713:低い権限のユーザーによるMFA設定の変更およびMFAのバイパスを可能にする脆弱性。CVSSスコアは8.8、High。
- CVE-2024-40710:低い権限のユーザーによるRCEおよび機微なデータ(保存されている認証情報とパスワード)の抽出を可能にする一連の脆弱性。CVSSスコアは8.8、High。
- CVE-2024-39718:低い権限のユーザーによる、サービスアカウントのものと同様の権限でのシステム上のファイルの遠隔削除を可能にする脆弱性。CVSSスコアは8.1、High。
- CVE-2024-40714:TLS証明書の脆弱性により、同じネットワーク上の攻撃者が復元オペレーション中に機微な認証情報を傍受できるようになるというもの。CVSSスコアは8.3、High。
- CVE-2024-40712:パストラバーサルの脆弱性。権限が低く、システムにローカルでアクセスできる攻撃者が悪用するとローカル特権昇格(LPE)を行えるようになるというもの。CVSSスコアは7.8、High。
上記のほか、今回のブレティンにはVeeam ONEやVeeam Service Provider Console(VSPC)などの製品における脆弱性も列挙されている。特に深刻度が高いものは以下の通り。
- CVE-2024-42024:Veeam ONEにおける脆弱性。Veeam ONE Agentサービスアカウントの認証情報を保有する攻撃者が悪用すると、Veeam ONE Agentがインストールされているマシン上でのRCEが可能になるというもの。CVSSスコアは9.1、Critical。
- CVE-2024-42019:Veeam ONEにおける脆弱性。攻撃者によるVeeam Reporter ServiceサービスアカウントのNTLMハッシュへのアクセスを可能にするもの。この攻撃にはユーザー操作およびVBRから収集されたデータが必要となる。CVSSスコアは9.0、Critical。
- CVE-2024-38650:Veeam Service Provider Console(VSPC)における脆弱性。低い権限の攻撃者による、VSPCサーバー上のサービスアカウントのNTLMハッシュへのアクセスを可能にするもの。CVSSスコアは9.9、Critical。
- CVE-2024-39714:VSPCにおける脆弱性。低い権限のユーザーによるサーバー上への任意ファイルのアップロードを可能にするもので、VSPCサーバー上でのRCEに繋がる恐れがある。CVSSスコアは9.9、Critical。
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠