Vous êtes dans : Accueil > Tribunes libres >

CVE-2023-27532 : une vulnérabilité sous-estimée revient frapper les serveurs de sauvegarde Veeam

Charles Blanc-Rolin, MARDI 30 JUILLET 2024

En ce 26 juillet, alors que le « bug » implémenté dans l’EDR Falcon Sensor de Crowdstrike ayant affecté massivement les systèmes Windows de ses clients la semaine passée n’en finit pas de défrayer la chronique, la vulnérabilité CVE-2023-27532 affectant les version 11 et 12 de Veeam Backup & Replication pourrait bien faire plus mal que prévu.

Souvenez-vous, début mars 2023, une vulnérabilité permettant de lister tous les couples identifiants / mots de passe enregistrés dans la solution de sauvegarde Veeam Backup & Replication était corrigée par l’éditeur [1]. Deux semaines plus tard, un rapport de la société Horizon3.ai [2], accompagné d’un POC d’exploitation étaient publiés.

La vulnérabilité peut être exploitée à distance, sans authentification préalable via le service Veeam.Backup.Service.exe exposé par défaut sur le port 9401 TCP.

Un score CVSS 3 de 7.5/10 lui a alors été attribué. Ce score n’a pas été réévalué depuis, tout comme sa description sur le site de l’éditeur.

Un récent rapport de la société Group-IB [3], intitulé « Patch or Peril... », relayé la semaine dernière par le CERT Santé [4] indique que les attaquants derrière le rançongiciel EstateRansomware ont utilisé un second POC (publique lui aussi pour ceux qui ont suivi le sujet de près) pour créer un compte utilisateur sur le système d’exploitation, nommé « VeeamBkp » et mener des activités de découverte et de collecte de données d'identification via des outils comme NetScan et AdFind.

Ce qui est important, c’est de bien comprendre l’exploitation de cette vulnérabilité et comment fonctionne le POC, car nous ne sommes plus tout à fait sur le même registre que ce qui a pu être annoncé initialement. Veeam Backup & Replication s’appuie sur SQL Server pour sa base de données. SQL Server permet, avec un accès authentifié, d’exécuter n’importe quelle commande Windows via la procédure stockée « xp_cmdshell » [5]. Le service Veeam Backup vulnérable, permet donc d’utiliser la procédure stockée mentionnée précédemment, sans avoir à s’authentifier et d’exécuter des commandes avec les privilèges « système » sur le serveur Windows hébergeant la solution de sauvegarde (aïe aïe aïe).

Dans l’exemple ci-dessus, le POC permet d’obtenir un shell avec les privilèges « système » sur le serveur !

Exécuter du code arbitraire à distance sur le système d’exploitation, facilement, sans authentification préalable, ni interaction avec un utilisateur et avec des privilèges « système » (autant dire, se retrouver le capitaine du navire), si l’on fait (faire) le calcul [6], on arrive à un score CVSS 3 de 10/10 bien mérité et non 7.5/10.

Même si cette vulnérabilité a assez peu de chance d’être exploitée en tant que point d’entrée, il faudrait être assez suicidaire pour exposer ce service sur Internet. Il va sans dire que d’autres attaquants ne vont pas hésiter à s’en saisir pour se latéraliser (ou supprimer, pourquoi pas, les sauvegardes) sur les SI de leurs victimes dès qu’ils en auront l’opportunité.

Dans l’attente de l’appel à financement du domaine 2 (PCRA + sauvegarde) de l’axe opérationnel du programme CaRE [7] et entre les glaces et la crème solaire, voici quelques pistes pour éviter un carnage sur votre SI :

1. Appliquer le correctif de sécurité si ce n’est déjà fait.

2. Déconnecter vos serveurs de sauvegarde de votre annuaire Active Directory si cela a été fait.

3. Isoler votre système de sauvegarde du reste du réseau et ne le laisser accessible qu’aux machines et administrateurs autorisés.

4. Disposer de sauvegardes déconnectées.

5. Utiliser un système de détection de menaces sur le réseau basé sur le moteur Suricata [8] alimenté par les règles Paw Patrules [9], pouvant notamment permettre de détecter une connexion illégitime au service Veeam Backup (voir vidéo : https://youtu.be/cp_u-dNpjPU).

[1] https://www.veeam.com/kb4424 

[2] https://www.horizon3.ai/attack-research/attack-blogs/veeam-backup-and-replication-cve-2023-27532-deep-dive/ 

[3] https://www.group-ib.com/blog/estate-ransomware/ 

[4] https://cyberveille-sante.gouv.fr/actualites/vulnerabilite-dans-veeam-exploitee-par-le-groupe-estateransomware-2024-07-18 

[5] https://learn.microsoft.com/fr-fr/sql/relational-databases/system-stored-procedures/xp-cmdshell-transact-sql?view=sql-server-ver16 

https://www.youtube.com/watch?v=27HfdsieIvg 

[6] https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

[7] https://esante.gouv.fr/strategie-nationale/cybersecurite 

[8] https://suricata.io/ 

[9] https://pawpatrules.fr/ 

L'auteur

Chef de projet sécurité numérique en santé - GCS e-santé Pays de la Loire Charles Blanc-Rolin est également vice-président de l’APSSIS (Association pour la promotion de la Sécurité des Systèmes d'Information de Santé)

 

 

#dsih#sécurité#microsoft


Les plus lus