Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Quando un attaccante compromette il sistema di backup di un’azienda, l’impatto di un attacco informatico cambia completamente. Non è più solo una violazione: diventa un disastro operativo.
Ed è proprio questo il rischio evidenziato dal nuovo advisory pubblicato da Veeam. L’azienda ha corretto diverse vulnerabilità critiche nel software Veeam Backup & Replication, alcune delle quali consentono Remote Code Execution (RCE) direttamente sui server che gestiscono i backup aziendali.
Un dettaglio particolarmente preoccupante è che alcune di queste vulnerabilità possono essere sfruttate da utenti di dominio con privilegi limitati, aprendo la porta a compromissioni estremamente pericolose all’interno delle infrastrutture IT.
Gli aggiornamenti pubblicati correggono numerose vulnerabilità ad alta criticità, molte delle quali permettono a utenti autenticati nel dominio di eseguire codice remoto sul server di backup.
Tra le principali vulnerabilità identificate troviamo:
Accanto a queste sono state risolte anche altre vulnerabilità ad alto impatto, tra cui:
Nel complesso, si tratta di una superficie di attacco molto pericolosa, soprattutto perché alcune vulnerabilità possono essere sfruttate da utenti di dominio con privilegi minimi.
Il software Veeam Backup & Replication (VBR) è uno dei sistemi di protezione dati più diffusi nel mondo enterprise. Secondo il vendor, la piattaforma è utilizzata da:
Proprio per questo motivo i server VBR rappresentano un obiettivo estremamente appetibile per gli attori malevoli.
Compromettere il sistema di backup permette infatti di:
In altre parole, il server di backup diventa il trampolino perfetto per completare un attacco ransomware.
Non è la prima volta che vulnerabilità nel software di backup vengono sfruttate attivamente durante attacchi informatici.
Nel corso degli ultimi anni diversi incidenti di sicurezza hanno mostrato come gli attaccanti cerchino deliberatamente di compromettere i sistemi di backup nelle fasi iniziali dell’intrusione. L’obiettivo è semplice e devastante allo stesso tempo, prendere il controllo del sistema che custodisce le copie dei dati aziendali.
Una volta ottenuto accesso al server di backup, gli attori malevoli possono:
In diversi casi osservati negli ultimi anni, le vulnerabilità nei sistemi di backup sono state utilizzate proprio per compromettere l’infrastruttura di protezione dati prima di lanciare l’attacco ransomware vero e proprio.
Una strategia che rende l’attacco molto più efficace, perché lascia le vittime senza la possibilità di recuperare rapidamente i propri sistemi.
Un aspetto particolarmente importante sottolineato da Veeam riguarda il cosiddetto reverse engineering delle patch.
Quando una vulnerabilità viene pubblicata insieme alla correzione, gli attaccanti possono analizzare il codice aggiornato per capire esattamente quale difetto è stato corretto e sviluppare rapidamente exploit funzionanti contro i sistemi non aggiornati.
In pratica, il momento più pericoloso è spesso proprio dopo il rilascio della patch.
Le vulnerabilità sono state risolte nelle seguenti versioni del software:
Tutte le versioni 12 precedenti alla 12.3.2.4165 risultano vulnerabili.
Nel corso degli incident response moderni, uno schema si ripete con inquietante frequenza gli attaccanti cercano sempre il backup server.
Non perché sia il sistema più esposto, ma perché è quello che decide l’esito finale dell’attacco.
Se il backup rimane intatto, l’azienda può ripartire.
Se il backup viene compromesso, l’intera infrastruttura può rimanere paralizzata per giorni o settimane.
Mantenere il software aggiornato è fondamentale per ridurre il rischio di compromissione dei backup e garantire la continuità delle operazioni aziendali.
