362/67 (IT) ประจำวันอังคารที่ 15 ตุลาคม 2567
Sophos บริษัทด้านความปลอดภัยทางไซเบอร์เผยว่า ขณะนี้มีการโจมตีหลายกรณีที่ใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยใน Veeam Backup & Replication เพื่อแทรกแซงและติดตั้งแรนซัมแวร์ Akira และ Fog โดยเฉพาะการโจมตีที่ใช้ช่องโหว่ CVE-2024-40711 ซึ่งมีคะแนนความรุนแรง 9.8/10 จาก CVSS โดยช่องโหว่นี้อนุญาตให้ผู้โจมตีสามารถเรียกใช้โค้ดจากระยะไกลได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์
นักวิจัยด้านความปลอดภัย Florian Hauser จาก CODE WHITE ประเทศเยอรมนี เป็นผู้ค้นพบช่องโหว่นี้ ซึ่งได้รับการแก้ไขใน Veeam เวอร์ชัน 12.2 ตั้งแต่เดือนกันยายน 2024 อย่างไรก็ตาม Sophos รายงานว่าการโจมตียังคงเกิดขึ้นโดยผู้ก่อภัยคุกคามใช้ข้อมูลรับรอง VPN ที่ถูกบุกรุกเพื่อเข้าถึงเครือข่ายโดยไม่เปิดใช้งานการยืนยันตัวตนหลายปัจจัย และใช้ URI /trigger บนพอร์ต 8000 เพื่อสร้างบัญชีภายในและติดตั้งแรนซัมแวร์
Sophos เตือนว่าการโจมตีที่ใช้ประโยชน์จากช่องโหว่นี้สามารถส่งผลกระทบรุนแรง โดยในบางกรณีผู้โจมตีได้ติดตั้งแรนซัมแวร์ Fog ลงในเซิร์ฟเวอร์ Hyper-V ที่ไม่มีการป้องกัน และขโมยข้อมูลด้วยการใช้เครื่องมือ rclone ในขณะเดียวกัน NHS England ได้ออกคำเตือนว่า ระบบสำรองข้อมูลและกู้คืนข้อมูลในองค์กรต่างๆ โดยเฉพาะในโครงสร้างพื้นฐานที่สำคัญ กลายเป็นเป้าหมายหลักของกลุ่มแฮกเกอร์ทั่วโลก นอกจากนี้ รายงานจาก Unit 42 ของ Palo Alto Networks ได้เผยถึงแรนซัมแวร์ตัวใหม่ชื่อ Lynx ที่กำลังมุ่งเป้าโจมตีองค์กรในสหรัฐฯ และสหราชอาณาจักร ตั้งแต่เดือนกรกฎาคม 2024 โดยเชื่อว่าเป็นการพัฒนาต่อเนื่องจากแรนซัมแวร์ INC
แหล่งข่าว https://thehackernews.com/2024/10/critical-veeam-vulnerability-exploited.html
