Veritas備份軟體遭ALPHV勒索軟體攻擊

安全廠商發現，知名備份軟體Veritas產品曾在去年遭到ALPHV（或BlackCat）勒索軟體利用漏洞感染，提醒曝險的企業用戶儘速修補漏洞。

Google旗下安全子公司Mandiant去年10月，發現一起針對執行Veritas Backup Exec軟體的攻擊行動。代號UNC4466 的駭客組織是在9月利用Metasploit攻擊框架濫用Veritas備份軟體三項漏洞CVE-2021-27876、 CVE-2021-27877及 CVE-2021-27878，以駭入一臺Windows伺服器，最後部署勒索軟體ALPHV勒索軟體。

ALPHV為Rust語言開發的勒索軟體即服務（ransomware-as-a-service），又名BlackCat。它首先是在2021年11月為人發現，研究人員相信它是Blackmatter及Darkside勒索軟體的後繼者，曾攻擊包括電玩遊戲開發商萬代南夢宮（Bandai Namco）。

在進入受害者系統中，UNC4466利用Windows的IE瀏覽器下載掃瞄軟體，以及其他資料蒐集工具蒐集其他伺服器的IP、主機名及OS、硬體設備資訊、Active Directory環境資訊包括子網域、密碼政策、電腦與用戶帳號清單等到外部伺服器，以便掌握受害者系統環境。最後，駭客們分別下載遠端控制工具及密碼蒐集工具、並且關閉安全軟體，最後下載ALPHV加密工具攫取受害者檔案。

這三項漏洞影響Veritas Backup Exec 16.x、20.x及21.x版本。三漏洞CVSS 3.1風險值從8.2到8.8，屬於高風險漏洞。Veritas已在2021年3月釋出安全公告及21.2版本軟體加以修補。

不過截至目前，Mandiant利用市面網路掃瞄服務，仍發現有超過8,500多臺IP位址的伺服器曝露出Veritas Backup Exec ndmp服務。安全廠商指出，雖然曝露的服務因應用程式版本不明，這掃瞄結果未直接發現有漏洞的系統，但也顯示仍有為數眾多的執行個體可能曝險。

安全廠商建議用戶應使用Windows版Veritas Backup Exec的log檔，透過分析可以了解是否曾被用於連上遠端系統。