Исследователи Sophos отслеживают новые варианты вредоносного ПО и три кластера активности, работа которых с марта 2023 года централизованно координируется в рамках единой в кампании кибершпионажа в Юго-Восточной Азии под названием Crimson Palace.

По мнению исследователей, все они связаны с известными китайскими APT, а общая цель кампании заключалась в получении доступа к критически важным ИТ-системам, проведение разведки в отношении конкретных пользователей, сбор конфиденциальной военной и технической информации.

Crimson Palace включает три кластеров вторжений, некоторые из которых используют одну и ту же тактику, хотя есть свидетельства более ранней активности, датируемой мартом 2022 года:

- Кластер Альфа (март 2023 - август 2023): демонстрирует некоторую степень сходства с субъектами, отслеживаемыми как BackdoorDiplomacy, REF5961, Worok и TA428.

- Кластер Браво (март 2023): имеет общие черты с Unfading Sea Haze.

- Кластер Чарли (март 2023 - апрель 2024): пересекается с Earth Longzhi, подгруппой APT41.

Альфа (STAC1248) был сосредоточен на развертывании обновленных вариантов вредоносного ПО EAGERBEE.

Основная цель - сопоставление подсетей серверов и сбор учетных записей администраторов путем проведения разведки в инфраструктуре Active Directory.

Деятельность опиралась на несколько постоянных каналов C2, включая агент Merlin, бэкдор PhantomNet, вредоносное ПО RUDEBIRD и бэкдор PowHeartBeat.

Чтобы избежать обнаружения, злоумышленник использовал «живые» LOLBins для обеспечения устойчивости служб с системными привилегиями и реализовывал неопубликованную загрузку DLL с восемью уникальными DLL через службы Windows и легальные двоичные файлы Microsoft.

Браво (STAC1807) действовал всего три недели в марте 2023 года с акцентом на горизонтальном передвижении и обеспечению персистентности, запуская в целевые системы ранее неизвестный бэкдор CCoreDoor.

Злоумышленник использовал переименованные версии подписанных исполняемых файлов с возможностью боковой загрузки, чтобы запутать развертывание бэкдора и облегчить горизонтальное перемещение, а также перезаписывал ntdll.dll в памяти для нейтрализации средств защиты конечных точек Sophos.

Чарли (SCAT1305) занимался управлением доступом и обширной разведкой в течение длительного периода.

Злоумышленник развернул несколько образцов ранее неизвестного вредоносного ПО PocoProxy для обеспечения устойчивой связи C2, а также также задействовал загрузчик HUI для внедрения Cobalt Strike Beacon в mstsc.exe.

Кроме того, злоумышленник внедрил перехватчик учетных данных LSASS для захвата учетных данных на контроллерах домена, а также провел комплексный анализ журналов событий и автоматические проверки связи для сопоставления пользователей и конечных точек в сети.

Реализовать атрибуцию с высокой степенью достоверности и точно проследить характер взаимоотношений между этими кластерами ресерчеры Sophos пока затрудняются, но обещают продолжать отслеживать активность.

Бродкомовская Symantec расчехлила банду вымогателей RansomHub, связав ее с уже отошедшей от дел Knight ransomware.

Работающая в традиционном RaaS-формате RansomHub пока не может похвастаться историей своего бренда и образовалась в сообществе вымогателей сравнительно недавно.

Банда специализируется краже и вымогательстве данных, реализуя украденные файлы на аукционах по наивысшему предложенному покупателями прайсу.

RansomHub привлекла внимание в апреля, опубликовав тогда украденные из дочерней компании United Health Change Healthcare данные после атаки BlackCat/ALPHV, что многих наводило на мысль о сотрудничестве между ними.

А совсем недавно, в день пограничника, вымогатели навестили международный аукционный дом Christie’s, который признал инцидент после того, как хакеры пригрозили раскрыть украденные данные.

В свою очередь, Knight была запущена в конце июля 2023 года как некий ребрендинг Cyclops и применялась для атак на Windows, macOS, Linux/ESXi, в ходе которых производилась кража данные и обозначался выкуп.

Одной из особенностей Knight стал компонент для кражи информации, который владельцы ransomware предлагали своим операторам, делая их атаки более эффективными.

В феврале 2024 года в киберподполье исходники шифровальщика Knight с версией 3.0 выставили на продажу, портал DLS отключили, а работа RaaS была приостановлена.

Но, как удалось выяснить Symantec, ненадолго, ведь позже Knight вернулся уже в образе RansomHub.

Аналитики обнаружили много общего между двумя штаммами программ-вымогателей.

Оба семейства написаны на Go и используют Gobfuscate для обфускации. В двух полезных нагрузках вредоносного ПО имеется значительное дублирование кода.

В RansomHub и Knight применена одна и та же уникальная техника обфускации, при которой важные строки кодируются уникальными ключами.

Записки о выкупе, используемые двумя семействами программ-вымогателей, аналогичны, с небольшими обновлениями, добавленными RansomHub.

Оба штамма перед шифрованием перезапускают конечные точки в безопасном режиме. Меню справки командной строки в этих двух семействах идентичны, с той лишь разницей, что в RansomHub есть команда «сна».

Последовательность и способ выполнения команд остались прежними, однако RansomHub теперь выполняет их через cmd.exe.

В наконец, время появления RansomHub четко совпадает с датой ухода Knight.

Однако, как полагают в Symantec, за RansomHub стоят иные разрабы, которые по всей видимости закупившись Knigh, начали применять в атаках его модифицированный вариант.

Тем не менее, к настоящему времени RansomHub превратился в одну из самых эффективных RaaS, которую Symantec связывает с бандой, привлекающей бывших операторов ALPHV, таких как Notchy и Scattered Spider.

После неугомонных речей микромягких про высокие стандарты безопасности исследователи решили наглядно продемонстрировать, что такое в реальности Windows Recall и как его можно использовать для кражи информации.

Как предполагается, новый функционал будет активирован по умолчанию на всех новых ПК Copilot+, позволяя пользователям Windows серфить историю всех своих прошлых активностей в системе.

Несмотря на мгновенную реактивную критику инфосек-сообщества, Microsoft продолжает причитать все одни и те же мантры про безопасность и необходимость физического авторизованного доступа для кражи данных с помощью Recall.

Но на самом деле все оказалось иначе и куда драматичнее.

Исследователь Марк-Андре Моро смог восстановить из локальной незашифрованной базы данных SQLite пароль менеджера удаленного рабочего стола, который изначально был собран с помощью Recall, упрощающего задачу инфостиллеру.

Другой эксперт Александр Хагена предоставил инструмент с открытым исходным кодом под названием TotalRecall, который может легко извлекать и отображать данные из базы данных Recall.

Несмотря на то, что официальный запуск состоится через две недели, Хагена удалось запустить Windows Recall на ПК, не поддерживающем CoPilot+, внутри ARM Azure и потестить его, прийдя к выводу, что никакой безопасности нет от слова совсем.

Авторитетный Кевин Бомонт также внимательно присмотрелся к безопасности Recall и предупредил, что злоумышленники могут модифицировать средства кражи информации для получения данных посредством новой функции Windows.

Он отметил, что данные, собранные Recall, эффективно сжимаются: для хранения данных за несколько дней требуется менее 100 КБ памяти.

Кроме того, провел тесты с использованием рабочего стиллера и смог выкрасть данные Recall до того, как они были обнаружены Microsoft Defender для Endpoint.

Recall в настоящее время все еще находится на стадии предварительной версии, и у Microsoft еще есть все шансы внести в нее изменения (если конечно, их одобрит вашингтонский обком). Как обычно, будем посмотреть.

Лучше HR-практики на канале SecAtor

Исследователи CronUp из Чили сообщают о новой схеме вымогательства, нацеленной на репозитории GitHub.

В ходе атак Gitloker хакеры компрометирует учетные записи GitHub и впоследствии переименовывают репозиторий, удаляют содержимое, оставляя записку о выкупе в формате файла README.me.

Акторы предлагают вернуть резервную копию для восстановления данных. Для этого жертве следует связаться с владельцем аккаунта Gitloker в Telegram для обсуждения конкретных условий сделки.

Учитывая, что это уже не первый случай взлома учетных записей GitHub с целью кражи данных из частных репозиториев пользователей, компания посоветовала пользователям сменить пароли, включитть 2Fa, добавить ключ доступа для входа в систему без пароля и провести полный аудит безопасности.

Ни представитель хакеров, ни GitHub пока никак не комментируют новую кампанию Gitloker, но будем следить.

Южнокорейская AhnLab обнаружила целевую фишинговую кампанию, реализующую обход средств защиты и предлагающую пользователям самостоятельно откопипастить и запустить вредоносные команды PowerShell в командной строке Windows.

Распространяемые через электронную почту в качестве вложений к сообщениям фишинговые HTML замаскированы под различные инструкции, содержание которых побуждает получателей открыть вложения.

Открывая HTML-файл, отображается сообщение, эмулированное под онко MS Word, в котором пользователю предлагается нажать кнопку «исправить», чтобы просмотреть документ Word в автономном режиме.

При нажатии кнопки пользователю выходят инструкции, предписывающие выполнить [Win+R] затем [CTRL+V], после чего [Enter] или открыть терминал PowerShell и вручную ввести команду.

Одновременно с этим вредоносная команда PowerShell, закодированная в Base64 с помощью JavaScript, декодируется и сохраняется в буфер обмена и затем выполняется вредоносный сценарий, который реализует загрузку и выполнение файла HTA из C2.

Кроме того, он очищает буфер обмена, по-видимому, чтобы скрыть выполненную команду PowerShell.

HTA выполняет команду PowerShell в C2, а Autoit3.exe внутри ZIP-файла использует скомпилированный вредоносный скрипт Autoit (script.a3x) в качестве аргумента для выполнения.

В конечном итоге доставляется DarkGate со всеми вытекающими, одновременно подтверждая, что лох не мамонт, никогда не вымрет.

DEVCORE обнаружила критическую уязвимость CVE-2024-4577, которая затрагивает все версии PHP, работающие в системах Windows.

Она позволяет проводить атаки с удаленным выполнением кода на веб-серверы с использованием PHP-CGI.

Фактически является обходом патча безопасности от 2012 года для CVE-2012-1823, также позволявшей атаковать в ходе анализа PHP-CGI определенных параметров строки запроса.

При реализации PHP команда не заметила функции преобразования кодировки Best-Fit в ОС Windows, что позволяло неаутентифицированным злоумышленникам обойти защиту с помощью определенных последовательностей символов.


Произвольный код может быть выполнен на удаленных серверах PHP с помощью атаки путем внедрения аргументов.

Учитывая критичность ситуации, разработчков PHP незамедлительно уведомили о проблеме 7 мая, которую они смогли решить к 6 июня, выпустив новые версии 8.3.8 , 8.2.20 и 8.1.29.

Уязвимость воспроизвели и подробно изучили ресерчеры Watchtowr, отметив ее неприятной ошибкой с очень простым эксплойтом, идеально подходящую для пятничного вечера.

Исследователи из Positive Technologies обнаружили новый бэкдор GoRed, созданный на языке Go и задействуемый группировкой ExCobalt в атаках.

В марте 2024 года Позитивы в рамках расследования инцидента обнаружили подозрительный файл под названием scrond, сжатый с помощью упаковщика UPX (Ultimate Packer for eXecutables), на одном из Linux-узлов клиента.

В данных распакованного семпла, написанного на языке Go, были найдены пути пакетов, содержащие подстроку red.team/go-red/, что указывало на то, что семпл является проприетарным инструментом GoRed.

По результатам анализа стало понятно, что различные версии GoRed ранее уже встречались в расследованиях инцидентов у других клиентов и, по всей видимости, связан с группировкой ExCobalt.

ExCobalt активна с 2016 года и известна атаками на российские компании в сфере металлургии, телекома, горной промышленности, ИТ и госсектора, преследуя цели кибершпионажа и кражи данных.

Судя по всему, она также связана с APT, которую Солары отслеживает как Shedding Zmiy.

Бэкдор обладает множеством функций, включая удаленное выполнение команд, сбор данных из скомпрометированных систем и использование различных методов взаимодействия с C2 (в том числе RPC-протокола), а также DNS-/ICMP-туннелирования, WSS и Quic для коммуникации с оператором.

В целом, исследование указывает на продолжение реализации группой ExCobalt активных атак на российские компании, постоянно совершенствуя при этом свои инструменты и оттачивая TTPs.

При этом бэкдор GoRed может применяться и для более сложных и скрытных воздействий.

Злоумышленники демонстрируют высокую степень профессионализма и адаптивности, используя модифицированные инструменты для обхода защитных мер, что указывает на их глубокое понимание уязвимостей в инфраструктуре компаний и делает их атаки особенно опасными.

͏OMG! ИИ захватит весь мир.

В это время ИИ:

Исследователи Morphisec сообщают о расширении целей Sticky Werewolf для атак в России и Беларуси.

Впервые активная как минимум с апреля 2023 года Sticky Werewolf была профилирована BI.ZONE в октябре 2023 года.

Известна тем, что таргетируется на Россию и Беларусь, отслеживается также как Cloud Werewolf (Inception и Cloud Atlas), Quartz Wolf, Red Wolf (он же RedCurl) и Scaly Wolf.

Новые замеченные фишинговые атаки были нацелены на фармацевтическую компанию, НИИ в области микробиологии и разработки вакцин, а также на авиационный сектор, выйдя за рамки более ранних устремлений к госсектор.

Причем в предыдущих кампаниях цепочка заражения начиналась с фишинговых писем, содержащих ссылку для загрузки вредоносного файла с таких платформ, как gofile.io.

Кульминацией было развертывание трояна удаленного доступа NetWire RAT, инфраструктура которого была отключена в начале прошлого года в результате силовой операции.

В недавней кампании использовались архивы RAR, два файла LNK и ложный PDF-документ. Последний включал якобы приглашение на видеоконференцию, а для получения повестки необходимо было нажать на LNK.

Открытие любого из файлов LNK приводило к выполнению двоичного файла, размещенного на сервере WebDAV и запуску пакетного сценария Windows.

Скрипт, в свою очередь, предназначен для выполнения сценария AutoIt, который в конечном итоге внедряет окончательную полезную нагрузку, в то же время минуя защитное ПО и попытки анализа.

Исполняемый файл представляет собой самораспаковывающийся архив NSIS, который является частью ранее известного шифровальщика CypherIT.

При этом оригинальный шифровальщик больше не реализуется, а задетектированный является его модификацией.

Конечная цель кампании - распространение универсальных RAT и вредоносных ПО для кражи информации, включая Rhadamanthys и Ozone RAT.

Ресерчеры отмечают, что несмотря на отсутствие достоверных данных, указывающих на конкретное национальное происхождение группы Sticky Werewolf, геополитический контекст и виктимология указывают на возможные связи с проукраинской APT или хактивистами.

Под натиском сообщества и после крайне одобрительных комментариев от разработчиков ведущих инфостиллеров, Microsoft решила не добавлять Windows Recall по умолчанию на ПК Copilot+.

Вероятно, трезво оценивая в целом уровень безопасности своих решений, а на самом деле переживая за свою и без того микромягкую репутацию, разработчики предусмотрели отдельный флажок для принудительной активации новой функции.

Все это на фоне того, как критика Recall от мемов и обсуждений дошла до прикладных исследований и почти эксплойтов.

Только на прошлой неделе исследователи выкатили несколько вариантов интеграции Recall в функционал вредоносные программ для для кражи данных, а Google Project Zero полностью расчехлила дырявую защиту данных Recall в Windows.

Теперь потребуется регистрация в Windows Hello для включения функции, а для просмотра и поиска снимков экрана, сохраненных в Recall, потребуется «доказательство присутствия».

Компания заявила, что также добавит дополнительные уровни защиты, включая расшифровку «точно в срок» и аутентификацию через Windows Hello (ESS).

Снимки Recall могут быть расшифрованы и доступны только после аутентификации пользователя. Кроме того, решено зашифровать базу данных поисковых индексов.

Несмотря на это, Microsoft продолжит продвигать спорную функцию, предлагая детализированные пользовательские элементы управления, позволяющие пользователям лично настраивать работу инструмента.

При этом Microsoft настаивает существовании серьезныого барьера безопасности, апеллируя тем, что снимки экрана хранятся локально на ПК Copilot+ с мощными инструментами ИИ, которые работают только на самом устройстве. 

Насчет того, что все локальные данные пользователей Windows принадлежат только пользователям, утверждать бы точно не стали, в сети много примеров, кому они в итоге принадлежали на самом деле.

͏Пока Microsoft сражается с волной хейта и фокусирует все внимание сообщества на себе, другой технологический гигант пытается протащить свою разработку, похожую на Recall.

Как сообщает PCWorld, на прошлой неделе вдохновившись идеями «наличия контекста и памяти событий», Google подтвердила, что в планах компании выпустить нечто аналогичное для своих Chromebook.

Новая функция в ChromeOS получит название memory и сейчас находится в стадии активной разработки.

Но дабы сразу переступить через «грабли», попавшиеся на пути Microsoft, Google поспешила заверить, что в отличие от Recall пользователь сам будет контролировать, как и где должна работать функция memory.

Но мы-то все прекрасно помним историю с режимом "инкогнито" браузера Chrome, когда пользователи "контролировали свою историю посещений" 🤞

На фоне шумихи по поводу «правильной» отработки трендов ИИ, по всей видимости, на основе методичек и целеуказаний от вашингтонского обкома, есть еще вендоры, которых реально интересуют вопросы безопасности.

В частности, разработчики OpenSSH добавили новую функцию безопасности для защиты серверов от эксплойтов и брута, внедрив две опции sshd_config(5): PerSourcePenalties и PerSourcePenaltyExemptList.

Она позволит регулировать тайминг и отключать SSH-клиенты, которые многократно не проходят аутентификацию или приводят к сбою сервера.

Опция по умолчанию отключена, но планируется автоматическая активация в самое ближайшее время.

Новый опции предусматривают таймаут по умолчанию составит 30 секунд, который может быть увеличен для последующих попыток аутентификаций вплоть до полной блокировки.

При этом PerSourcePenaltyExemptList исключить от проверок доверенных клиентов.

Другим позитивным новшеством, по мнению IETF, можно назвать Ephemeral Diffie-Hellman Over COSE (EDHOC), недавно одобренный протокол обмена ключами для устройств IoT.

Исследователи глубоко изучили его и пришли к выводу, что для радиотехнологий IoT с MTU порядка нескольких десятков байт и ограниченных скоростей передачи данных, EDHOC за счет минимального объема памяти кода и данных уверенно обеспечивает поддерживает современный уровень безопасности.

͏Фишинговая приманка одной картинкой

Эпопея с Breached продолжается, список репрессированных, вероятно, в очередной раз пополнился.

На этот раз неожиданно исчезли ShinyHunters, которые отключили все аккаунт и площадки как в Clearnet, так и в Tor, а также в Telegram и X. Публика полагает, что их арестовали.

И не удивительно, ведь продолжать администрировать форум после последней операции спецслужб - это крайне авантюрная затея, ведь админ как бы задержан, но без официальных сообщений Минюста или ФБР. И вообще, существовал ли Bahomet.

По всем свидетельствам, хронология событий, последовавших после ареста главного админа BreachForums Конора Брайана Фитцпатрика, указывает на явную и полную режиссуру спецслужб.

Так что последующее воскрешение ShinyHunters или Breached - можно считать новым спектаклем, а за билетами сразу в ФБР.

Методички вашингтонского обкома в отношении генеративного ИИ для ведущих технологических гигантов дошли и до Apple, которая вслед за торпедами Micrisoft и Google также озаботилась своим прогрессивным шпионским функционалом.

Компания на Всемирной конференции разработчиков 2024 (WWDC) представила Apple Intelligence и резентовала свою стратегию генеративного искусственного интеллекта по обеспечению персонализированного опыта на яблочных устройствах.

Apple Intelligence - это система персонального интеллекта, которая интегрирует мощные генеративные модели непосредственно в основу iPhone, iPad и Mac на iOS 18, iPadOS 18 и macOS Sequoia для анализа, извлечения и выполнения действий с данными на устройстве локально.

Apple Intelligence будет реализовывать создание на устройстве семантического индекса для хранения данных, полученных из электронных писем, изображений, истории браузера и используемых приложений, что позволит голосом создавать и корректировать различный контент, а также извлекать данные, хранящиеся в приложениях.

Однако, если для запроса требуется более сложная модель ИИ, которую невозможно запустить локально, запрос будет отправлен на выделенные облачные серверы, называемые частные облачные вычисления.

Компания заявляет, что будут отправляться только данные, необходимые для обработки запроса, и они никогда не будут храниться на ее серверах и не будут доступны сотрудникам Apple.

По данным Axios, одним из партнеров в разработке является OpenAI, который позволит Siri запрашивать ChatGPT для выполнения более сложных запросов.

При этом Apple приватизирует эти запросы, скрывая IP-адреса, а OpenAI не будет хранить запросы. Однако для тех, кто хочет связать свои учетные записи OpenAI с iOS, будут использоваться политики данных OpenAI.

Сообщается также, что Apple Intelligence будет доступна только на iPhone 15 Pro, iPad и Mac с чипами M1 и более поздних версиях.

В силу ограниченности информации пока неясно, насколько защищен семантический индекс и можно ли будет получить доступ к этим данным, как в случае с Windows Recall.

Тем не менее, как мы уже не раз наблюдали, устройства MacOS и iOS, как и Windows, становились целями шпионского ПО и объектами иных вредоносных кампаний.

Опережая очевидно намечающийся шквал критики, предельно ясно на этот счет высказался Илон Маск.

Нарисовалась новая жертва в кейсе Snowflake, чьи данные утекли в даркнет и теперь реализуются за 750 000 долларов.

Cylance подтвердила утечку данных и связала инцидент со «сторонней» платформой. Продает их все тот же селлер Sp1d3r, о котором ранее сообщала Dark Web Informer.

Данные включают в себя значительный объем информации в отношении 34 000 000 электронных писем клиентов и сотрудников, а также личную информацию, принадлежащую клиентам, партнерам и сотрудникам Cylance.

Правда, утекшие образцы, по всей видимости, представляют собой старые маркетинговые данные. Тем не менее, BlackBerry Cylance осведомлены о заявлениях злоумышленников и проводят расследование, заверяя о безопасности данных и систем, связанных с текущими клиентами, продуктами и операциями.

Предварительно, данные, о которых идет речь, были получены со сторонней платформы, не связанной с BlackBerry, и, судя по всему, относятся к 2015–2018 годам, до приобретения BlackBerry портфеля продуктов Cylance.

Несмотря на сохранение втайне наименования стороннего поставщика, уже известно, что Cylance является клиентом Snowflake, а данные реализует все тот же злоумышленник.

Однако Snowflake продолжает настаивать на том, что все нарушения произошли на стороне клиентов и обусловлены упущениями в безопасности на их стороне.

В свою очередь, для своей защиты уже подтянули CrowdStrike и Mandiant, которые якобы отыскали кучу артефактов, свидетельствующих о задействовании в продолжающейся кампании слитых кредов для взлома учеток клиентов Snowflake, не имеющих 2Fa.

Mandiant даже выкатила отчет, атрибутировав атаки Snowflake с финансово мотивированным злоумышленником, которого она отслеживает как UNC5537 и обвиняет в сотнях атак с вымогательством на организаций по всему миру.

Хакеры при этом получили доступ к учетным записям клиентов Snowflake, используя учетные данные клиентов, украденные в результате заражения вредоносным ПО аж в 2020 году.

При этом Mandiant сообщает, что выявила сотни учетных данных клиентов Snowflake, раскрытых в результате атак с использованием вредоносных ПО Vidar, RisePro, Redline, Racoon Stealer, Lumm и Metastealer, начиная с 2020 года.

В связи с чем Snowflake и Mandiant уведомили около 165 организаций, потенциально подвергающихся этим продолжающимся атакам.

Вот только почему-то, формулировка «сотни» ссузилась до одной с небольшим. Может еще какие результаты расследования имеются.

Будем следить.

Подкатил PoC-эксплойт для критической уязвимости обхода аутентификации для решения по управлению резервным копированием и восстановлением Veeam Backup Enterprise Manager (VBEM).

CVE-2024-29849 позволяет удаленным злоумышленникам, не прошедшим аутентификацию, войти в веб-интерфейс VBEM от имени любого пользователя, о чем Veeam предупредила клиентов 21 мая, выпустив бюллетень по безопасности.

Как поясняет в технической статье исследователь Сины Хейрха, ошибка затрагивает сервис Veeam.Backup.Enterprise.RestAPIService.exe, который взаимодействует по TCP-порту 9398 и функционирует как сервер REST API для основного веб-приложения.

Эксплойт предполагает отправку специально созданного токена единого входа (SSO) VMware в уязвимую службу с помощью API Veeam.

Он содержит запрос аутентификации, который выдает себя за администратора, и URL-адрес службы единого входа, который Veeam, что особенно важно, не проверяет.

Токен единого входа в кодировке Base64 декодируется и интерпретируется в форме XML для проверки его достоверности посредством запроса SOAP к URL-адресу, контролируемому злоумышленником.

Подконтрольный злоумышленнику сервер, при этом положительно реагирует на запросы проверки, поэтому Veeam принимает запрос аутентификации и предоставляет злоумышленнику административный доступ.

Предоставленный эксплойт демонстрирует все шаги по использованию уязвимости, включая настройку сервера обратного вызова, отправку созданного токена и получение списка файловых серверов в качестве доказательства успешной эксплуатации.

Несмотря на отсутствие сообщений о задействовании CVE-2024-29849 в реальных атаках, появление работающего эксплойта определенно изменить ситуацию к худшему в самое ближайшее время.

Так что клиентам крайне важно как можно скорее обновиться до версии 12.1.2.172 или более поздней, а также следовать этим рекомендациям поставщика.

Прежде всего, необходимо ограничить доступ к веб-интерфейсу VBEM только доверенным IP-адресам, настроить правила брандмауэра и заблокировать доступ к портам сервисов Veeam (9398 для REST API), включить MFa для всех учетных записей с доступом к VBEM, а также изолировать сервер VBEM от других критически важных систем.