该供应商的产品属于勒索软件运营商喜欢瞄准的类别,以规避受害者从成功攻击中恢复的能力。
数据保护和备份软件公司 Nakivo 在 2024 年 9 月一家安全供应商通知该公司该问题后,似乎已经悄悄修补了其产品的一个版本中的一个关键漏洞。
两个月后发布了一个补丁,但目前尚不清楚 Nakivo 是否事先私下通知了受影响的客户该漏洞,以便他们能够减轻任何临时风险。该公司没有立即回应 Dark Reading 的澄清请求。
未经身份验证的任意文件读取漏洞
Nakivo 自称是本地、云和 SaaS 环境的备份、勒索软件保护和灾难恢复产品的供应商。该公司在 180 个国家/地区拥有超过 30,000 名客户。该列表包括 300 多家托管服务提供商和大公司,例如可口可乐、思科、本田和西门子。
Nakivo 的产品——以及它的一些大型竞争对手(如 Veeam 和 Veritas)的产品——属于勒索软件运营商特别喜欢瞄准的类别,以规避受害者从成功攻击中恢复的能力。美国网络安全和基础设施安全局 (CISA) 的已知利用漏洞目录包括 2022 年以来勒索软件行为者在近期攻击中针对的 4 个 Veeam 漏洞,以及自 2023 年以来涉及 Veritas 备份产品的 3 个漏洞。
watchTowr 的研究人员在调查 Nakivo 的备份和复制产品对攻击的弹性时发现了未经身份验证的任意文件读取漏洞 CVE-2024-48248。在本周的一篇博文中,watchTowr 安全研究员“Sonny”表示,该公司在该产品的 10.11.3.86570 版本中发现了该漏洞,但没有检查以前的版本以查看这些产品是否也受到影响。
watchTowr 发现的 Nakivo 漏洞与 Director 有关,Director 是 Nakivo 备份和复制的集中管理 HTTP 接口。正如 Sonny 告诉 Dark Reading 的那样,该漏洞为攻击者提供了一种窃取备份和凭据并解锁整个基础设施环境的方法。“情况不会变得更严重,”他说。“勒索软件团伙越来越专注于将备份和恢复解决方案作为其攻击策略的一部分。”
易于发现和利用
Sonny 说,watchTowr 花了不到一天的时间就发现了这个漏洞。安全研究人员随后能够仅使用已知的搜索引擎工具找到其他易受攻击的系统。寻找目标就像在搜索引擎上输入特定关键字一样简单,允许用户发现暴露的服务器、网络摄像头、路由器、工业控制系统和其他可公开访问的资产。“要利用此漏洞,攻击者只需发送一个精心设计的 HTTP 请求,即可读取底层作系统上的任何文件,包括应用程序数据库,其中包含集成系统的机密和凭据,”Sonny 说。
WatchTowr 在发现漏洞的同一天向 Nakivo 报告了该漏洞;watchTowr 表示,在互联网上发现属于它们的易受攻击系统后,它还同时通知了受影响的组织。根据 Sonny 的说法,watchTowr 至少跟进了 Nakivo 两次,在等待回复期间,申请并获得了该漏洞的 CVE 标识符,“这样我们至少可以通过这个名称来引用漏洞”。
Nakivo 终于在 2024 年 10 月底承认了该漏洞,大约在 watchTowr 首次向公司披露该漏洞六周后。2024 年 11 月,Nakivo 在其备份和复制产品 v11.0.0.88174 版本中修补了该漏洞。Sonny 说,目前尚不清楚还有哪些其他版本受到此漏洞的影响,因为 Nakivo 尚未发布公开公告。
“我们当然假设他们根据 NDA 联系了所有客户,并鼓励他们悄悄地进行修补,以避免让他们的客户在不知不觉中受到攻击,”他在博客文章中指出。“尽管如此,我们仍然处于'不是很好'的领域——像任何备份解决方案一样保护大量关键数据的软件,必然会受到积极和刻薄的攻击者的审查。鉴于如此'简单'的漏洞,有时很难相信我们是唯一偶然发现它的人。
WatchTowr 还发布了一个工具,Nakivo 客户可以使用它来确定他们面临的漏洞。
信息来源:https://www.darkreading.com/application-security/nakivo-fixes-critical-flaw-backup-replication-too
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局