Saldırganlar Veritas Backup Zafiyetleri Üzerinden Sistemleri İstismar Ediyorlar

ALPHV/BlackCat fidye çetesinin sistemleri istismar etmek için Veritas Backup zafiyetlerini istismar ettikleri tespit edildi.

ALPHV fidye yazılım çetesi Aralık 2021’de ortaya çıktı ve kapanan Darkside ve Blackmatter programlarının eski üyeleri tarafından yürütüldüğü düşünülüyor.

İstismar edilen zafiyetler

CVE-2021-27876: Arbitrary file access flaw caused by an error in the SHA authentication scheme, allowing a remote attacker to gain unauthorized access to vulnerable endpoints. (CVSS score: 8.1)

CVE-2021-27877: Remote unauthorized access and privileged command execution to the BE Agent via SHA authentication. (CVSS score: 8.2)

CVE-2021-27878: Arbitrary command execution flaw result of an error in the SHA authentication scheme, allowing a remote attacker to gain unauthorized access to vulnerable endpoints. (CVSS score: 8.8)

Her üç zafiyette Veritas Backup yazılımını etkiliyor. Zafiyetler Mart 2021’de açıkladı ve 21.2 sürümüyle kapatıldı. Ancak hala gücelleme yapmayan onlarca kullanıcı bulunmakta.

Saldırı detayları

Saldırı ilk olarak Metasploit tool’u kullanılarak internete açık Veritas Backup sistemleri üzerinden yapılıyor ve sistem üzerinde erişim sağlanıyor. İç ağa sızan saldırganlar ip taraması gerçekleştiriyor. Sonrasın da LAZAGNE, LIGOLO, WINSW, RCLONE gibi ek araçlar kullanılıyor son olarakta BITS aracılığıyla ALPHV fidye yazılımı indiriliyor. Saldırganlar takip edilmelerinin önüne geçmek için ise Microsoft Defender’ın gerçek zamanlı izleme özelliğini devre dışı bırakarıyor.

Şu ana kadar sadırı ve detayları hakkında bu bilgiler bulunmakta. İlerleyen günler yeni istismarları getirecek mi hep beraber göreceğiz.

Kaynak: bleepingcomputer.com