# CVE-2024-40711 > [!critical] RCE crítico no Veeam Backup & Replication - exploração ativa por ransomware > Execução remota de código sem autenticação em versões anteriores à 12.2. Explorada por grupos de ransomware como **STORM-1567** para comprometer infraestruturas de backup e maximizar impacto do ataque. ## Visão Geral A [[cve-2024-40711|CVE-2024-40711]] é uma vulnerabilidade de execução remota de código (RCE) sem autenticação que afeta o [[veeam-backup-replication|Veeam Backup & Replication]], amplamente utilizado em ambientes corporativos para backup e recuperação de desastres. Com CVSS 9.8, representa uma das falhas mais graves de 2024 no segmento de proteção de dados. A gravidade é amplificada pelo contexto estratégico: soluções de backup são alvos prioritários em ataques de [[ransomware]], pois comprometê-las elimina a principal linha de defesa da vítima contra extorsão. Grupos como [[storm-1567]] exploram essa CVE para garantir que as vítimas não consigam se recuperar sem pagar o resgate, maximizando o impacto financeiro. Para organizações brasileiras e latinoamericanas que dependem do Veeam em infraestruturas críticas, a exposição desta vulnerabilidade em interfaces de gerenciamento acessíveis pela rede representa risco imediato de comprometimento total do ambiente de backup. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | **CVSS** | 9.8 (Critical) | | **Vetor** | AV:N/AC:L/PR:N/UI:N | | **Produto** | Veeam Backup & Replication | | **Versões afetadas** | < 12.2.0.334 | | **Patch** | 12.2.0.334 (04 set 2024) | | **Exploit público** | Sim | ## Impacto e Kill Chain A vulnerabilidade reside no componente de deserialização do servidor Veeam, permitindo que um atacante envie requisições HTTP maliciosas para a porta 9401 e execute código arbitrário como SYSTEM. **Fluxo típico de exploração:** 1. Reconhecimento - identificação de instâncias Veeam expostas (Shodan/Censys) 2. Exploração do endpoint de deserialização sem credenciais 3. Execução de payload (loader/dropper de ransomware) 4. Destruição de backups ou criptografia do repositório 5. Implantação de ransomware no ambiente principal **TTPs observados:** [[t1190-exploit-public-facing-application|T1190]] · [[t1059-001-powershell|T1059.001]] · [[t1490-inhibit-system-recovery|T1490]] · [[t1486-data-encrypted-for-impact|T1486]] ## Detecção e Defesa **Mitigação imediata:** - Atualizar para Veeam Backup & Replication 12.2.0.334 ou superior - Restringir acesso à porta 9401 a redes de gerenciamento confiáveis - Monitorar processos filhos anômalos do serviço Veeam **Detecção:** - Alertar em requisições HTTP para porta 9401 de origens externas - Monitorar criação de processos por `VeeamBackup.exe` - Aplicar [[m1030-network-segmentation|M1030]] para isolar servidores de backup **Mitigações MITRE:** [[m1051-update-software|M1051]] · [[m1030-network-segmentation|M1030]] · [[m1026-privileged-account-management|M1026]] > [!latam] Relevância LATAM > O Veeam é amplamente adotado por empresas de médio porte no Brasil e LATAM, setores **financeiro** e **varejo** incluídos. Grupos de ransomware ativos na região, como afiliados do **RansomHub** operados pelo STORM-1567, têm priorizado alvos com Veeam exposto na internet. ## Referências - [Veeam Advisory KB4649](https://www.veeam.com/kb4649) - [BleepingComputer - Veeam RCE flaw](https://www.bleepingcomputer.com/news/security/critical-veeam-backup-replication-rce-vulnerability-now-exploited-in-attacks/) - [Sophos X-Ops Analysis](https://news.sophos.com/en-us/2024/10/31/veeam-exploit-seen-in-fog-ransomware-attacks/)