利用 Veeam Backup & Replication 软件漏洞 CVE-2024-40711 的勒索软件攻击激增

在最近的一次警报中，Sophos X-Ops MDR 和事件响应揭示了利用 Veeam Backup & Replication 软件中的关键漏洞 CVE-2024-40711 发起的勒索软件攻击激增。在过去的一个月里，攻击者利用这一漏洞和被泄露的凭据创建了未经授权的账户，并试图部署包括Fog和Akira在内的勒索软件变种。强烈建议使用 Veeam Backup & Replication 的企业立即为其系统打补丁并加强远程访问防御。

CVE-2024-40711漏洞的CVSS评分为9.8分，它是一个反序列化不受信任数据的漏洞，允许攻击者在未经身份验证的情况下执行远程代码。watchTowr 的安全研究员 Sina Kheirkhah（@SinSinology）对这一关键漏洞进行了分析，并发布了一个概念验证（PoC）漏洞，引起了更广泛的网络安全社区的关注。

攻击者可通过端口 8000 上的特定 URI /trigger 利用该漏洞，导致 Veeam.Backup.MountService.exe 生成一个进程，从而创建一个名为 “point ”的新本地帐户，然后将其添加到管理员和远程桌面用户组中。这样，攻击者就有了访问系统的权限，这是执行进一步恶意操作（如部署勒索软件）的关键一步。

Sophos X-Ops 揭露了几起攻击者利用未打补丁版本的 Veeam Backup & Replication 软件中的 CVE-2024-40711 漏洞的案例。在其中一起追踪到的事件中，攻击者在一台未受保护的Hyper-V服务器上部署了Fog勒索软件，而同一时间段的另一起攻击则试图发送Akira勒索软件。这些案例被追溯到通过被入侵的 VPN 网关进行的未经授权访问，这些 VPN 网关要么运行的是过时版本，要么禁用了多因素身份验证 (MFA)。

在 Fog 勒索软件攻击中，攻击者不仅部署了勒索软件。他们还使用一种名为 rclone 的工具从被攻击系统中流出敏感数据，这凸显了现代勒索软件攻击的受害者所面临的加密和数据窃取的双重威胁。

Sophos公司强调，这些事件突出表明，企业有必要维护更新和完全支持的VPN网关，为已知漏洞打补丁，并实施多因素身份验证（MFA）以确保远程接入点的安全。所有案例中的初始访问都是通过被破坏的 VPN 网关实现的，这突出表明了这些接入点对网络安全的重要性。

强烈建议使用 Veeam Backup & Replication 的企业更新至 12.2.0.334 或更高版本，以确保全面保护。