Veeamバックアップ製品の既知脆弱性狙う攻撃ツールが流通か

「CVE-2022-26504」は「SCVMMサーバ」を登録している場合にのみ影響があり、非ドメイン管理者により認証を突破され、リモートよりコードを実行されるおそれがある。

ただし、CISAの「悪用が確認された脆弱性カタログ（KEV）」には追加されていない。CloudSEKのアドバイザリは、宣伝があったことを伝えるもので問題の攻撃ツールに関する具体的な内容には踏み込んでおらず、CISAにより確認された攻撃との関連性はわかっていない。

またアドバイザリでは、これら脆弱性とは別にOSINTベースの情報としてVeeam製のバックアップ製品より情報を窃取することを目的とした複数のツールが出回っている点にも触れている。

GitHub上に、「Veeam Backup and Replication Credential Manager」のSQLデータベースに対して接続を試行し、認証情報を取得してユーザー名や復号化されたパスワードなどを出力するPowerShellスクリプトが公開されていた。

さらにVeeamのバックアップ管理ソフトを標的としたマルウェア「Veeamp」も確認されている。Windows環境においてVeeamのバックアップ製品におけるSQLデータベースへ接続を試みて、パスワードを盗み出す機能を備えていた。

（Security NEXT - 2022/12/16 ） ツイート

PR

関連記事

「MS 365」に不正ログイン、個人情報流出の可能性 - 日経米子会社
開示文書の墨塗り個人情報、出力ミスで参照可能に - 北九州市
事業者宛てメールで複数の誤送信が判明 - 公共施設の管理運営会社
米当局、脆弱性3件の悪用を警告 - 「Ivanti EPMM」「PAN-OS」は緊急対応を
Linuxカーネルに権限昇格の脆弱性「Copy Fail」 - PoC公開済み
「Spring Cloud Config」にパストラバーサルなど複数脆弱性
動作確認ページ残存、ボランティア登録者メアドが閲覧可能に - 名古屋市
複数脆弱性を修正した「Firefox 150.0.2」をリリース - Mozilla
「Firefox」にアップデート - 「クリティカル」脆弱性を解消
暗号化通信ライブラリ「GnuTLS」に複数脆弱性 - アップデートで修正