安全厂商发现,知名备份软件Veritas产品曾在去年遭到ALPHV(或BlackCat)勒索软件利用漏洞感染,提醒曝险的企业用户尽快修补漏洞。
Google旗下安全子公司Mandiant去年10月,发现一起针对执行Veritas Backup Exec软件的攻击行动。代号UNC4466的黑客组织是在9月利用Metasploit攻击框架滥用Veritas备份软件三项漏洞CVE-2021-27876、 CVE-2021-27877及CVE-2021-27878,以黑入一台Windows服务器,最后部署勒索软件ALPHV勒索软件。
ALPHV为Rust语言开发的勒索软件即服务(ransomware-as-a-service),又名BlackCat。它首先是在2021年11月为人发现,研究人员相信它是Blackmatter及Darkside勒索软件的后继者,曾攻击包括电玩游戏开发商万代南梦宫(Bandai Namco)。
在进入受害者系统中,UNC4466利用Windows的IE浏览器下载扫描软件,以及其他资料搜集工具搜集其他服务器的IP、主机名及OS、硬件设备资讯、Active Directory环境资讯包括子域名、密码政策、计算机与用户账号清单等到外部服务器,以便掌握受害者系统环境。最后,黑客们分别下载远程控制工具及密码搜集工具、并且关闭安全软件,最后下载ALPHV加密工具攫取受害者文件。
这三项漏洞影响Veritas Backup Exec 16.x、20.x及21.x版本。三漏洞CVSS 3.1风险值从8.2到8.8,属于高风险漏洞。Veritas已在2021年3月发布安全公告及21.2版本软件加以修补。
不过截至目前,Mandiant利用市面网络扫描服务,仍发现有超过8,500多台IP地址的服务器暴露出Veritas Backup Exec ndmp服务。安全厂商指出,虽然暴露的服务应对用程序版本不明,这扫描结果未直接发现有漏洞的系统,但也显示仍有为数众多的执行实例可能曝险。
安全厂商建议用户应使用Windows版Veritas Backup Exec的log档,通过分析可以了解是否曾被用于连上远程系统。