Aumento de ataques envolvendo erros no software Veeam

Federações advertem sobre o aumento de ataques envolvendo falha de software Veeam

Em um recente relatório de inteligência, as Federações de Segurança de Informação e Inteligência (FS-ISAC e MS-ISAC) advertiram sobre um aumento nos ataques cibernéticos que estão sendo executados usando uma vulnerabilidade nos produtos de backup da Veeam.

Segundo as federações, um grupo de atacantes conhecido como UNC2630 tem sido visto explorando essa falha de segurança, conhecida como CVE-2020-8497, para enganar usuários finais e obter acesso remoto não autorizado a redes corporativas. Além disso, o grupo de ameaças é conhecido por seus ataques à ransomware.

A CVE-2020-8497 é uma vulnerabilidade de dia zero que foi descoberta por pesquisadores da FireEye no final do ano passado e afeta a biblioteca de código aberto dnsmasq usada pelo software Veeam para gerenciar o DNS interno. Se bem exploitada, a falha de segurança pode permitir que um invasor envenene o cache do DNS para redirecionar o tráfego para uma página falsa da web que parece ser legitimacy, mas na verdade está hospedada em um servidor controlado pelo atacante.

Em novembro de 2020, a Veeam lançou uma atualização de segurança que ajuda a mitigar a vulnerabilidade CVE-2020-8497. No entanto, as federações acreditam que os ataques continuarão a crescer até que todos os sistemas sejam atualizados para evitar a exploração bem-sucedida da vulnerabilidade.

As federações recomendam que as organizações assegurem que todos os sistemas estejam atualizados com a correção de segurança mais recente e que as ferramentas de Segurança da Informação sejam implementadas e atualizadas para detectar e bloquear ataques baseados em CVE-2020-8497. Além disso, as organizações devem considerar a implantação de ferramentas de detecção e prevenção de intrusão de próxima geração (NGFW) e / ou ferramentas de detecção e prevenção de invasão avançadas (EDR) para melhorar a detecção de ataques avançados baseados em CVE-2020-8497.