cve-2023-27532 - RunkIntel

# CVE-2023-27532 ## Resumo CVE-2023-27532 é uma vulnerabilidade de **autenticação ausente para função crítica** (*Missing Authentication for Critical Function*, CWE-306) no componente principal do Veeam Backup & Replication. A falha permite que um atacante não autenticado, com acesso à rede interna de backup, solicite credenciais criptografadas armazenadas no banco de dados de configuração - obtendo acesso aos hosts da infraestrutura de backup. Pesquisadores da Horizon3.ai demonstraram que as credenciais podem ser obtidas em texto claro, não apenas criptografadas. A vulnerabilidade foi explorada pelo [[g0046-fin7|FIN7]] (grupo russo) desde março/abril de 2023, e mais tarde pelo grupo de ransomware Cuba e pela operação Akira. Dado o acesso privilegiado que soluções de backup têm sobre toda a infraestrutura corporativa, a exploração desta falha frequentemente resulta em comprometimento total do ambiente. ## Detalhes Técnicos - **Tipo:** Missing Authentication for Critical Function / Credential Disclosure - **Vetor:** Network - **Complexidade:** Low - **Pré-autenticação:** Sim (dentro do perímetro de rede da infraestrutura de backup) - **Versões afetadas:** Todas as versões do Veeam Backup & Replication anteriores às builds 12 (12.0.0.1420 P20230223) e 11a (11.0.1.1261 P20230227) - **Versão corrigida:** Build 12 (12.0.0.1420 P20230223) e 11a (11.0.1.1261 P20230227) - **CWE:** CWE-306 (Missing Authentication for Critical Function) - **Porta exposta:** TCP 9401 (processo `Veeam.Backup.Service.exe`) ### Funcionamento Técnico O processo `Veeam.Backup.Service.exe`, que escuta por padrão na porta TCP 9401, permite que qualquer usuário não autenticado solicite credenciais criptografadas do banco de dados de configuração. A ausência completa de verificação de autenticação antes de retornar essas credenciais permite que um atacante com acesso à rede simplesmente envie uma requisição para extrair o material de credenciais. Embora inicialmente descritas como "criptografadas", pesquisadores da Horizon3.ai demonstraram que credenciais em texto claro também podem ser obtidas, tornando a vulnerabilidade ainda mais grave do que a descrição original sugeria. ## Exploração A withSecure identificou os primeiros ataques ao final de março de 2023, atribuídos ao [[g0046-fin7|FIN7]], usando o script PowerShell `PowerTrash` observado em campanhas anteriores do grupo. A CISA adicionou a CVE ao catálogo KEV em agosto de 2023, após a confirmação de uso pelo ransomware Cuba. Um PoC público foi liberado pela Horizon3.ai pouco após o patch, acelerando a exploração por múltiplos grupos. Em junho de 2024, a BlackBerry documentou um ataque da operação **Akira ransomware** contra uma **companhia aérea latino-americana**, onde os atacantes exploraram o CVE-2023-27532 para criar uma conta de usuário fraudulenta, executar o NetScan e exfiltrar dados antes de implantar o ransomware Akira em toda a rede - usando o servidor Veeam comprometido como ponto de controle. Em abril de 2024, o grupo EstateRansomware também explorou a vulnerabilidade. O processo de comprometimento completo levou apenas 133 minutos em um dos incidentes documentados. ## Mitigação 1. Aplicar imediatamente o patch nas builds 12 (12.0.0.1420 P20230223) ou 11a (11.0.1.1261 P20230227) ou superior 2. Como mitigação temporária em appliances all-in-one (sem componentes remotos de backup): bloquear conexões externas à porta TCP 9401 no firewall do servidor de backup 3. Rotacionar todas as credenciais armazenadas no banco de dados de configuração do Veeam após aplicar o patch 4. Isolar a infraestrutura de backup em um segmento de rede dedicado, inacessível diretamente da internet 5. Monitorar tráfego de rede na porta TCP 9401 em busca de acessos externos não autorizados ## Referências - [Veeam KB4424 - CVE-2023-27532](https://www.veeam.com/kb4424) - [NVD - CVE-2023-27532](https://nvd.nist.gov/vuln/detail/CVE-2023-27532) - [CISA KEV - Adição em 22/08/2023](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [SecurityWeek - Exploração por ransomware um ano após](https://www.securityweek.com/year-old-veeam-vulnerability-exploited-in-fresh-ransomware-attacks/) - [BlackBerry - Ataque Akira contra companhia aérea LATAM](https://securityaffairs.com/165753/malware/ransomware-groups-target-veeam-backup-replication-bug.html) ## Contexto LATAM > [!latam] Impacto para Brasil e América Latina > O **Veeam Backup & Replication** é um dos softwares de backup mais utilizados em ambientes corporativos na América Latina. O ataque da operação **Akira ransomware** contra uma companhia aérea da América Latina documentado pela BlackBerry em junho de 2024 é o caso mais emblemático de exploração desta CVE na região. Grupos de ransomware ativos no Brasil - como **LockBit** e operações afiliadas - têm historicamente alvejado infraestruturas de backup como vetor de comprometimento total, sabendo que a destruição ou criptografia de backups elimina a capacidade de recuperação da vítima sem pagar o resgate. Organizações brasileiras com **Veeam não atualizado e exposto na rede interna** permanecem em risco elevado. ## Notas Relacionadas CVE-2023-27532 é particularmente crítica para organizações brasileiras e latino-americanas: o ataque da operação Akira contra uma **companhia aérea da América Latina** documentado pela BlackBerry em junho de 2024 demonstra impacto real na região. O [[g0046-fin7|FIN7]] tem histórico de ataques a infraestruturas corporativas para posterior venda de acesso ou implantação de ransomware. Para contexto ampliado, ver [[veeam-ransomware-exploitation-2026|Veeam Ransomware Exploitation 2026]] e os grupos [[lockbit|LockBit]] e [[qilin|Qilin]], que também exploram infraestruturas de backup. A técnica de comprometimento de soluções de backup é documentada no MITRE ATT&CK como [[t1005-data-from-local-system|T1005 - Data from Local System]] e [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]].