パッチ適用も効果なし？ Veeam製品を悪用したランサムウェア亜種を確認：Cybersecurity Dive

複数のランサムウェアの亜種がVeeam製品の重大な脆弱性を標的にしており、悪用のリスクが高まっている。共通脆弱性評価システム（CVSS）における同脆弱性のスコアは9.8だ。Veeamによるパッチ適用も効果が薄い可能性もある。

[Matt Kapko，Cybersecurity Dive]

　Sophosの脅威インテリジェンスチーム「Sophos X-Ops」は2024年11月8日（現地時間、以下同）のブログ投稿で「バックアップ製品『Veeam Backup and Replication』の重大な脆弱（ぜいじゃく）性が新たなランサムウェアの亜種によって悪用されている」と述べた。

パッチ適用も効果なし？　Veeam製品を悪用したランサムウェア亜種を確認

　ランサムウェア「Frag」を操作するサイバー犯罪者グループは、脅威グループの「Akira」や「Fog」が使用したものと同様の戦術やテクニック、手順を使用していた。2024年10月、これらのグループは同じ脆弱性の悪用に関与した。

　Sophos X-Opsのショーン・ギャラガー氏（主任脅威研究者）は、ブログ投稿の中で次のように述べた。

　「これまでの事例と同様に、攻撃者は侵害されたVPNアプライアンスを利用してアクセスを確保し、Veeam製品の脆弱性を悪用して、『point』という新しいアカウントを作成した。今回の事例では『point2』というアカウントも作成されていた」

　Veeam Backup and Replicationは、仮想マシンや物理マシン、クラウドマシンのバックアップを作成し、複製および復元のために企業に使用されている。Veeam Backup and Replicationで報告された脆弱性「CVE-2024-40711」を悪用した攻撃においては、複数のランサムウェアの亜種が使用されており、顧客が直面するリスクを高めている。

　Veeamによると、同社は世界中で55万以上の顧客を抱えており、その中には「Global 2000」企業の74％が含まれている。ただし、Veeam Backup and Replicationを利用している顧客の正確な数は不明だ。

　ギャラガー氏は、電子メールで次のように述べた。

　「私たちは、Veeamを特定の戦術や技術、手法の一部として悪用されているツールだと考えている。このような手口は、侵害されたネットワークアクセスを他のサイバー犯罪者に販売するアクセスブローカーや、複数のRansomware as a Service（RaaS）のプラットフォームを運営する独立した攻撃者グループに関連している。いずれにせよ、異なるマルウェアを使ったさらなるランサムウェア攻撃につながる恐れがある。Fragはその一例だ」

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2024年10月17日、この脆弱性「CVE-2024-40711」を、共通脆弱性評価システム（CVSS）のスコア9.8と評価してカタログに登録した。CVE-2024-40711で報告されたVeeam Backup and Replicationにおけるデシリアライズの脆弱性を悪用すれば、認証されていない攻撃者がリモートコードを実行できる。

　Veeamは、Sophosの調査に関する質問には答えなかったが、顧客に対してVeeam Backup and Replication v12.2にアップグレードするように再度推奨した。Veeamは、2024年8月28日のソフトウェアアップデートで同脆弱性にパッチを適用した。

　Veeamでコーポレートコミュニケーションおよびグローバル広報を担当するハイディ・モンロー・クロフト氏（シニアディレクター）は、2024年11月11日に電子メールで次のように述べた。

　「脆弱性が特定され開示された場合であっても、攻撃者はパッチを悪用してリバースエンジニアリングを実行し、パッチが適用されていないバージョンのVeeamを復元して、これを悪用しようとする」

（注1）VEEAM exploit seen used again with a new ransomware: “Frag”（SOPHOS NEWS）
（注2）Critical Veeam CVE actively exploited in ransomware attacks（Cybersecurity Dive）
（注3）CVE-2024-40711 Detail（NIST）

原文へのリンク