2023-05-17 20:24:32
Selon le fournisseur, les utilisateurs non authentifiés peuvent accéder à un réseau exploitant Veeam dans le périmètre du réseau de l’infrastructure de sauvegarde et obtenir des informations d’identification cryptées stockées dans la base de données de configuration.
POURQUOI EST-CE IMPORTANT
Après un nombre croissant de cyberattaques exploitant une vulnérabilité du logiciel Veeam Backup & Replication, identifiée comme CVE-2023-27532, le Centre de coordination de la cybersécurité du secteur de la santé recommande à tous les utilisateurs des établissements de santé de maintenir leurs systèmes à jour et de corriger les vulnérabilités.
“Ce qui rend cette menace importante, c’est qu’en plus de sauvegarder et de restaurer des machines virtuelles, elle est utilisée pour protéger et restaurer des fichiers et des applications individuels pour des environnements tels que Microsoft Exchange et SharePoint, qui sont utilisés dans le secteur HPH”, a déclaré l’agence. 10 mai note d’analyse.
Le logiciel a également la capacité de fournir des restaurations au niveau des transactions des bases de données Oracle et Microsoft SQL.
Veeam a émis un avertissement à ses clients le 7 mars, notant que le processus vulnérable est Veeam.Backup.Service.exe – TCP 9401 par défaut – et leur conseillant de mettre à jour leur logiciel.
WithSecure Labs a identifié FIN7 – un groupe de cybercriminalité à motivation financière – dans les récentes attaques contre les serveurs Veeam.
“Le 28 mars 2023, une activité initiale a été observée sur les serveurs connectés à Internet exécutant le logiciel Veeam Backup & Replication”, selon son site Internet.
“Un processus de serveur SQL ‘sqlservr.exe’ lié à l’instance Veeam Backup a exécuté une commande shell, qui a effectué le téléchargement en mémoire et l’exécution d’un script PowerShell.”
L’acteur de la menace a testé le mouvement latéral avec des informations d’identification exfiltrées, a noté WithSecure Labs.
LA GRANDE TENDANCE
Qu’il s’agisse d’escroqueries par hameçonnage, d’exploitation de vulnérabilités pour voler des informations d’identification ou de systèmes de menaces internes, les hôpitaux, les régimes de santé et d’autres organisations de soins de santé sont des cibles de choix pour les acteurs malveillants qui recherchent toujours un moyen facile d’accéder à un réseau.
“Les organisations devraient revoir leurs implémentations de gestion des identités et des accès pour forcer l’utilisation de l’authentification multifacteur”, a conseillé John Hendley, responsable de la stratégie chez IBM Security X-Force, dans un rapport sur les coûts des violations de données de 2022.
“Cette seule étape contribue grandement à limiter la capacité des cybercriminels à utiliser des informations d’identification volées, qui est l’une de leurs méthodes préférées de compromis initial.”
ENREGISTREMENT
“HC3 recommande à toutes les entités du secteur HPH de rester vigilantes et conscientes des activités suspectes, de maintenir les systèmes à jour et de corriger immédiatement tout système vulnérable”, a déclaré l’agence dans la note d’alerte.
“En plus de cela, les organisations sont encouragées à adopter une approche proactive en utilisant les services et outils de cybersécurité gratuits de CISA pour renforcer leur cyberposture.”
Andrea Fox est rédactrice en chef de Healthcare IT News.
Courriel : [email protected]
Healthcare IT News est une publication HIMSS Media.
#HC3 #met #garde #contre #vulnérabilité #logiciel #Veeam #ciblant #les #identifiants #chiffrés
1684351549
