Jetzt patchen! ALPHV-Ransomware schlüpft durch Veritas-Backup-Lücken
Angreifer nehmen derzeit drei Sicherheitslücken in Veritas Backup Exec ins Visier. Patches sind verfügbar.
(Bild: aslysun/Shutterstock.com)
Admins, die Backups über Veritas Backup Exec realisieren, sollten die Anwendung aus Sicherheitsgründen zügig auf den aktuellen Stand bringen. Angreifer nutzen zur Zeit drei Sicherheitslücken aus und können nach erfolgreichen Attacken Schadcode ausführen.
Die Sicherheitslücken
Die Schwachstellen (CVE-2021-27876, CVE-2021-27877, CVE-2021-27878) sind alle mit dem Bedrohungsgrad „hoch“ eingestuft. Sicherheitsupdates in Form der Version 21.2 von Veritas Backup Exec sind bereits seit März 2021 verfügbar. Wie Mandiant nun in einem Bericht ausführen, gibt es seit September 2022 ein auf das Ausnutzen der Lücken zugeschnittenes Modul in der Toolsammlung für Sicherheitsforscher Metasploit. Einen Monat später hat Mandiant eigenen Angaben zufolge die ersten Attacken auf Windows Server beobachtet.
Dabei sollen es die Angreifer auf öffentlich erreichbare Instanzen von Veritas Backup Exec abgesehen haben. Den Sicherheitsforschern zufolge sind über 8500 Installationen über das Internet erreichbar. Einige davon sollen noch verwundbar sein – eine genaue Zahl nennen sie derzeit nicht. Unbekannt ist zur Zeit auch, in welchem Umfang die Angriffe stattfinden.
Aufgrund von Fehlern bei der SHA-Authentifizierung könnten sich Angreifer unbefugten Zugriff auf Instanzen verschaffen. Wie das im Detail vonstattengeht, führen die Forscher nicht aus.
Unbefugter Zugriff
Sind Angreifer im System, sollen sie mit verschiedenen Tools wie ADRecon Netzwerkinformationen zum weiteren Vordringen einsammeln. Im weiteren Verlauf sollen sie unter anderem mit Mimikatz Zugangsdaten mitschneiden. Am Ende installieren sie Mandiant zufolge die Ransomware ALPHV, die Daten verschlüsselt und Lösegeld einfordert.
(des)
