Vulnerabilidades de copia de seguridad y replicación de Veeam

16/12/2022

BOLETÍN NRO 2022-735

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), ha agregado dos vulnerabilidades que afectan al software Veeam Backup & Replication a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando evidencia de explotación activa en la naturaleza.

Servicios Afectados

• Veeam Backup & Replication 9.5, 10 y 11.

Detalles Tecnicos

CVE: CVE-2022-26500, CVE-2022-26501                                    Severidad:   CRÍTICA

Veeam Backup & Replication es un producto de software desarrollado por Veeam Software para realizar copias de seguridad, restaurar y replicar datos en máquinas virtuales (VM).

Las fallas críticas ahora ya parcheadas, rastreadas como CVE-2022-26500 y CVE-2022-26501, tienen una calificación de 9.8 en el sistema de puntuación CVSS y podrían aprovecharse para obtener el control de un sistema de destino.

El Servicio de distribución de Veeam (TCP 9380 de forma predeterminada) permite que los usuarios no autenticados accedan a las funciones internas de la API, según Veeam en un aviso publicado en marzo de 2022. "Un atacante remoto puede enviar información a la API interna que puede conducir a la carga y ejecución de código malicioso."

Los problemas que afectan a las versiones 9.5, 10 y 11 del producto se han abordado en las versiones 10a y 11a. Se recomienda a los usuarios de Veeam Backup & Replication 9.5 que actualicen a una versión compatible.

Todavía se desconocen los detalles sobre los ataques que explotan estas vulnerabilidades, pero la empresa de ciberseguridad CloudSEK reveló en octubre que observó a varios actores de amenazas que anunciaban una "herramienta totalmente armada para la ejecución remota de código" que abusaba de las dos fallas.

Algunas de las posibles consecuencias de una explotación exitosa son la infección con ransomware, el robo de datos y la denegación de servicio, por lo que es imperativo que los usuarios apliquen las actualizaciones.

Tanto GraphSteel como GrimPlant son malwares escritos en Go, las capacidades de las dos herramientas cubren el reconocimiento de la red, la ejecución de comandos y las operaciones de archivos.

 

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• El parche debe instalarse en el servidor Veeam Backup & Replication. Los servidores administrados con Veeam Distribution Service se actualizarán automáticamente después de instalar el parche.
• Todas las implementaciones nuevas de Veeam Backup & Replication versión 11a y 10a, con fecha 20220302 o posterior no son vulnerables.
• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: CISA Alert: Veeam Backup and Replication Vulnerabilities Being Exploited in Attacks
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​