Эксперт предупредил о критической уязвимости в популярном ПО для бэкапа

Критическая уязвимость в ПО для резервного копирования Veeam, одном из самых популярных решений в России, создает серьезную угрозу для непрерывности бизнеса отечественных компаний. Об этом заявил Даниил Чернов, автор продукта для анализа защищенности приложений Solar appScreener. Уязвимость позволяет злоумышленникам удаленно выполнять произвольный код, что может привести к шифрованию резервных копий с целью вымогательства и полной парализации процессов восстановления данных.

Veeam является одним из лидеров рынка решений для бэкапа и широко используется в ключевых отраслях российской экономики: от дата-центров, банков и телеком-операторов до госсектора и предприятий среднего и малого бизнеса.

«Такая распространенность делает любую критическую уязвимость в этом ПО потенциально масштабной проблемой, — комментирует Даниил Чернов, автор продукта Solar appScreener. — Обнаруженная брешь представляет серьезную угрозу, поскольку позволяет удаленно выполнить произвольный код на сервере. Учитывая, что серверы Veeam нередко доступны из интернета для удаленного администрирования, риск эксплуатации крайне высок».

Основной сценарий атаки, по мнению эксперта, — это шифрование резервных копий с последующим требованием выкупа. Такой подход обесценивает саму идею резервного копирования и может сделать невозможным восстановление компании после другой целевой атаки, например, с использованием шифровальщика на основной инфраструктуре. При появлении публичного эксплойта вероятны массовые атаки на уязвимые серверы.

Для защиты инфраструктуры эксперты по кибербезопасности настоятельно рекомендуют принять срочные меры. Основным способом нейтрализации угрозы является установка официального обновления от Veeam, однако в условиях санкционных ограничений к загрузке и установке патчей необходимо подходить с особой осторожностью, используя исключительно доверенные и проверенные каналы.

Если же установка обновления по каким-либо причинам невозможна, следует немедленно применить комплекс компенсирующих мер. В первую очередь необходимо максимально ограничить сетевой доступ к серверу управления Veeam, в идеале — полностью изолировать его от интернета. Также следует настроить доступ к интерфейсу администрирования строго по «белым спискам» IP-адресов. В качестве дополнительного эшелона защиты рекомендуется использовать межсетевые экраны и системы обнаружения вторжений для блокировки подозрительных запросов и активизировать мониторинг событий безопасности для оперативного отслеживания любой аномальной активности на сервере.

«В текущих условиях атака на резервные копии — это один из самых болезненных ударов по любой организации. Своевременное реагирование на подобные угрозы является критически важным элементом обеспечения киберустойчивости бизнеса», — заключил Даниил Чернов.