Advisory

Kerentanan Critical pada Veeam Backup & Replication berpotensi dimanfaatkan Gang Ransomware

September 12, 2024

Deskripsi

1

 

     
 

Para Threat hunter mengungkap adanya kampanye baru yang menargetkan perangkat firewall Fortinet FortiGate dengan Interface manajemen yang terekspos di internet. Dalam hal ini, pelaku melakukan login administratif tanpa izin, membuat akun baru, menggunakan akun tersebut untuk autentikasi SSL VPN, serta melakukan berbagai perubahan pada konfigurasi. Aktivitas berbahaya ini kemungkinan besar disebabkan oleh eksploitasi kerentanan keamanan (zero-day vulnerability)

  
     

 

 

Mitigasi

2

 

     
 

Para Threat hunter mengungkap adanya kampanye baru yang menargetkan perangkat firewall Fortinet FortiGate dengan Interface manajemen yang terekspos di internet. Dalam hal ini, pelaku melakukan login administratif tanpa izin, membuat akun baru, menggunakan akun tersebut untuk autentikasi SSL VPN, serta melakukan berbagai perubahan pada konfigurasi. Aktivitas berbahaya ini kemungkinan besar disebabkan oleh eksploitasi kerentanan keamanan (zero-day vulnerability)

  
     

 

Daftar Kerentanan VBR

3

 

Kerentanan Keterangan Severity
CVE-2024-40711 Kerentanan yang memungkinkan serangan remote code execution (RCE) tanpa autentikasi Critical (9.8)
CVE-2024-40710 Serangkaian kerentanan yang memungkinkan eksekusi kode jarak jauh (RCE) dan ekstraksi data sensitif (kredensial dan kata sandi yang disimpan) oleh pengguna dengan hak akses rendah.  High (8.8)
CVE-2024-40713 Pengguna dengan hak akses rendah dapat mengubah pengaturan Autentikasi Multi-Faktor (MFA) dan bypass MFA. High (8.8)
CVE-2024-40714 Validasi sertifikat TLS yang lemah memungkinkan intersepsi kredensial di jaringan yang sama selama proses restore. High (8.3)
CVE-2024-39718 Pengguna dengan hak akses rendah dapat menghapus file dari jarak jauh dengan izin yang setara dengan service account. High (8.1)
CVE-2024-40712 Kerentanan directory traversal memungkinkan pengguna lokal dengan dengan hak akses rendah untuk melakukan eskalasi local privilege escallation (LPE).  High (7.8)

 

 

Referensi 

  1. https://www.veeam.com/kb4649 
  2. https://www.helpnetsecurity.com/2024/09/09/cve-2024-40711-exploited/ 
  3. https://bp.veeam.com/security/

 

 

Deskripsi

1

 

     
 

Para Threat hunter mengungkap adanya kampanye baru yang menargetkan perangkat firewall Fortinet FortiGate dengan Interface manajemen yang terekspos di internet. Dalam hal ini, pelaku melakukan login administratif tanpa izin, membuat akun baru, menggunakan akun tersebut untuk autentikasi SSL VPN, serta melakukan berbagai perubahan pada konfigurasi. Aktivitas berbahaya ini kemungkinan besar disebabkan oleh eksploitasi kerentanan keamanan (zero-day vulnerability)

  
     

 

 

Mitigasi

2

 

     
 

Para Threat hunter mengungkap adanya kampanye baru yang menargetkan perangkat firewall Fortinet FortiGate dengan Interface manajemen yang terekspos di internet. Dalam hal ini, pelaku melakukan login administratif tanpa izin, membuat akun baru, menggunakan akun tersebut untuk autentikasi SSL VPN, serta melakukan berbagai perubahan pada konfigurasi. Aktivitas berbahaya ini kemungkinan besar disebabkan oleh eksploitasi kerentanan keamanan (zero-day vulnerability)

  
     

 

Daftar Kerentanan VBR

0

 

Kerentanan Keterangan Severity
CVE-2024-40711 Kerentanan yang memungkinkan serangan remote code execution (RCE) tanpa autentikasi Critical (9.8)
CVE-2024-40710 Serangkaian kerentanan yang memungkinkan eksekusi kode jarak jauh (RCE) dan ekstraksi data sensitif (kredensial dan kata sandi yang disimpan) oleh pengguna dengan hak akses rendah.  High (8.8)
CVE-2024-40713 Pengguna dengan hak akses rendah dapat mengubah pengaturan Autentikasi Multi-Faktor (MFA) dan bypass MFA. High (8.8)
CVE-2024-40714 Validasi sertifikat TLS yang lemah memungkinkan intersepsi kredensial di jaringan yang sama selama proses restore. High (8.3)
CVE-2024-39718 Pengguna dengan hak akses rendah dapat menghapus file dari jarak jauh dengan izin yang setara dengan service account. High (8.1)
CVE-2024-40712 Kerentanan directory traversal memungkinkan pengguna lokal dengan dengan hak akses rendah untuk melakukan eskalasi local privilege escallation (LPE).  High (7.8)

 

 

Referensi 

  1. https://www.veeam.com/kb4649 
  2. https://www.helpnetsecurity.com/2024/09/09/cve-2024-40711-exploited/ 
  3. https://bp.veeam.com/security/

 

 

Categories

Categories

Advisory
Awareness

Recent posts

Recent posts