Een jaar een oude kwetsbaarheid in Veeam is opnieuw gebruikt bij ransomware-aanvallen, zo meldt securitybedrijf Group-IB. Een beveiligingsupdate voor de kwetsbaarheid, aangeduid als CVE-2023-27532, is sinds 7 maart vorig jaar beschikbaar. Veeam biedt oplossingen voor het maken en restoren van back-ups en repliceren van software.

Via de kwetsbaarheid in Veeam Backup & Replication en Veeam Cloud Connect kan een ongeauthenticeerde aanvaller versleutelde inloggegevens uit de configuratiedatabase stelen, en zo toegang tot de back-upserver krijgen. Voorwaarde is wel dat de aanvaller toegang tot de 'backup infrastructure network perimeter' heeft om de aanval uit te kunnen voeren. Vorig jaar augustus werden de eerste ransomware-aanvallen waargenomen waarbij het Veeam-lek werd gebruikt.

Afgelopen april zag Group-IB opnieuw een aanval waarbij aanvallers de kwetsbaarheid in Veeam gebruikten. De aanvallers wisten via een niet actief gebruikt FortiGate SSL VPN-account toegang te krijgen. Vervolgens werd vanaf dit systeem de Veeam-server aangevallen. Volgens het securitybedrijf zaten de criminelen achter de EstateRansomware achter de aanval.