Een hackersbende viseert een 1-jaar oude kwetsbaarheid in de back-upsoftware van Veeam. Wie de patch niet uitvoerde, moet nu vrezen voor zijn back-ups.
Een hackersbende die opereert onder de naam EstateRansomware mikt zich op gebruikers van Veeam Backup & Replication. Back-ups van slachtoffers worden versleuteld om losgeld te eisen. Group IB, een beveiligingsbedrijf uit Singapore, doet in een blog de modus operandi van de bende uit de doeken.
De aanvallers banen zich via een ‘slapend account’ een weg binnen via VPN en maken zo verbinding met een server binnen de Veeam-omgeving van het slachtoffer. De backdoor in de Veeam-software geeft hen vervolgens volledige toegang over de back-upservers en kunnen ze gegevens van die servers halen.
lees ook
Waarom je ook back-ups moet maken van data die in de cloud staan
Wie niet horen wil, moet voelen
Wie ten prooi valt aan EstateRansomware, mag de hand in eigen boezem steken. De kwetsbaarheid, bekend als CVE-2023-27532, is geen onbekend probleem, zeker niet voor Veaam. De back-upspecialist benadrukt aan The Register dat er al sinds maart 2023 een patch beschikbaar is. Alle versies van Backup & Replication vanaf 11a dichten de kwetsbaarheid. Op het moment dat de patch was uitgerold, werd de kwetsbaarheid al actief uitgebuit.
Een gewaarschuwd bedrijf is er twee waard, maar wie niet wil horen, zal vroeg of laat moeten voelen. Laat dit een schoolvoorbeeld zijn waarom je patches altijd zo snel mogelijk moet doorvoeren. De tijd dat je servers even beperkt of niet toegankelijk zijn, is maar kleine hinder in vergelijken met de schade die gekaapte back-ups kunnen aanbrengen. Het is niet geweten hoeveel Veeam-servers nog kwetsbaar zijn en waar die zitten.
Er zijn nog recentere kwetsbaarheden in Veeam’s back-upsoftware om je zorgen over te maken. In mei rapporteerde Veeam een kwetsbaarheid in Backup Enterprise Manager, al zou die geen dreiging vormen voor je back-ups.