VEEAM is a software company specialized in the resilience of virtualization infrastructures and cloud based applications. The principal software, VEEAM Backup & Replication provides a backup solution for virtual machines, physical servers, cloud infrastructure or applications. It supports several types of backup repositories to store backup (CIFS, S3 bucket, …).

VEEAM in OVHcloud

At OVHcloud, there are many ways to consume VEEAM software:

• The first one is the Veeam Backup Managed option of Hosted Private Cloud. OVHcloud fully manage this solution and so, we already applied the mitigation related to this vulnerability.
• The second one is to install a backup server and use the Veeam Enterprise (proposed by OVHcloud) option to get a VEEAM License. In this Option, License is billed with a pay as you go billing. In this configuration you can use all features available in Veeam Backup & Replication and fully manage the infrastructure
• The last one is to install a backup Server and bring your own license. In this configuration you fully manage the backup infrastructure.

In the last two options, you can add Hosted private clouds, dedicated servers and other services in the VEEAM Backup & Replication software.

The CVE-2023-27532 affects to Veeam.Backup.Service.exe listening on TCP 9401 port of VEEAM servers. It allows an unauthenticated user to request credentials stored in VEEAM database but also to remotely execute commands on the Backup Server. The Attacker may use those credentials to gain access to any servers protected by the backup software.

Exploit scenario

Even if it is not trivial to exploit this vulnerability, at least one ransomware organization actively exploits it, and many exploit codes are publicly available. Therefore there is a serious concern that automated attacks number increase in the next few weeks.

In the operating method observed, the attacker exploits the CVE to get the credentials of the infrastructure covered by the backup solution (ie: vSphere credentials, …) in order to remove all virtual machines from the inventory and finally encrypts all backups. Then, he will ask for a ransom to get the encryption key. For now, we only identified this exploit on Backup Servers or Backup Proxies running Windows operating system where the port 9401 directly exposed on The Internet.

How to know if my server is vulnerable

All Releases of VEEAM Backup & Replication earlier than 12.0.0.1420 P20230223 or 11.0.1.1261 P20230227 are vulnerable. If untrusted IPs can reach the port 9401, the service is vulnerable.

Solution & Mitigation

In order to protect your infrastructure, we highly recommend to update your backup software. You can find patched binaries in the official documentation.

Waiting for the update, and to prevent future vulnerabilities exposition, we recommend to apply the following configuration:

At first, We highly recommend to avoid exposing Backup Infrastructure directly on unsecured networks (Internet, ..,).

When you install VEEAM on a server, it will configure the firewall to allow any connection on VEEAM ports without restriction on Remote address. All ports are so directly reachable from everywhere.

We recommend to apply firewall rules to restrict the ports to the strict minimum of hosts.

To do so, make sure the Windows Defender Firewall is set to block any inbound connections that does not match a rule.

Then, make sure all ports used are only reachable from servers you trust. For an optimal configuration refers to the official documentation.

You should see the firewall rule is now restricted to the IPs you configured.

Finally, if you are not using the mount server, we recommend to totally block totally the port 9401.

Unfortunately, as the exploit is using legit access, There is no possible mitigation at virtualization infrastructure or backup repositories level. Therefore, It is essential to guarantee the security of components using those infrastructures.

If you get compromised

If you think you have been compromised, we highly recommend to contact OVHcloud support as soon as possible in order to evaluate solutions to maybe recover your data.

Additional links:

https://www.veeam.com/kb4424
https://helpcenter.veeam.com/docs/backup/vsphere/used_ports.html?ver=120

https://www.ovhcloud.com/fr/enterprise/products/hosted-private-cloud/
https://www.ovhcloud.com/fr/enterprise/products/hosted-private-cloud/veeam-backup-managed/
https://www.ovhcloud.com/fr/storage-solutions/veeam-enterprise/

La société VEEAM est un éditeur logiciel spécialisé dans la résilience des infrastructures de virtualisation et des application cloud. Son principal logiciel, Veeam Backup & Replication permet la sauvegarde de machines virtuelles, de serveurs physiques, d’infrastructures cloud ou encore d’applications. Les sauvegardes sont stockés dans différents types de stockages de destinations.

Utiilisation de VEEAM chez OVHcloud

Chez OVHcloud, il existe plusieurs contextes dans lesquels les logiciels VEEAM peuvent être utilisés :

• L’option Veeam Backup Managed du produit Hosted Private Cloud est basée sur les solutions veeam. La solution étant entièrement gérée par OVHcloud, les mitigations nécessaires ont été appliquées par OVHcloud.
• L’option Veeam Enterprise du produit Hosted Private Cloud vous permet d’installer et de gérer votre serveur de sauvegarde. Vous profitez donc de toutes les fonctionnalités des applications Veeam. Dans cette option, OVHcloud vous permet d’obtenir la licence Veeam et d’avoir une facturation en Pay-as-you-go. La gestion du serveur et de la sécurité de l’infrastructure de backup est donc de la responsabilité de notre client.
• L’installation d’un serveur de sauvegarde avec vos propres licences. Dans ce mode, vous avez la main sur la totalité de votre infrastructure de backup.

Dans ces deux derniers modes, il vous est possible d’ajouter dans votre solution de sauvegarde, des Hosted Private Cloud, des serveurs dédiés, ainsi que d’autres services.

La CVE-2023-27532 affectant le processus en écoute sur le port 9401 du serveur VEEAM permet à un attaquant non-authentifié d’extraire des identifiants stockés dans la base de données de la solution et de déclencher l’exécution de commandes arbitraires sur le serveur de sauvegarde. L’attaquant peut ensuite potentiellement utiliser ces informations pour disposer d’accès aux serveurs et infrastructures couverts par le système de sauvegarde et prendre le contrôle du serveur exécutant le service Veeam.

Scenario d’exploitation

La vulnérabilité, même si son exploitation n’est pas triviale est activement exploitée par au moins un groupe de ransomware, et plusieurs codes d’exploitation sont disponibles publiquement. Il est donc à craindre que les attaques automatisées se multiplient dans les prochaines semaines.

Le scénario d’exploitation observé consiste à déployer un exécutable sur le serveur VEEAM afin de récupérer les identifiants de l’infrastructure sauvegardée (code d’accès à vSphere, …), supprimer les machines virtuelles en cours d’execution, et enfin chiffrer les sauvegardes en demandant une rançon. Jusqu’à maintenant, nous avons identifié ce scénario uniquement sur des systèmes Windows où Veeam a pu être installé avec le port 9401 exposé sur Internet.

Comment savoir si mon service est vulnérable

Toutes les versions de Veeam Backup & Replication antérieure à la 12.0.0.1420 P20230223 ou 11.0.1.1261 P20230227 sont vulnérables. Si le port 9401 est accessible depuis des adresses IP qui ne sont pas de confiance, le service est vulnérable.

Résolution et Mitigation du risque

Afin de vous protéger de cette attaque, une mise à jour de l’infrastructure de sauvegarde est nécessaire. Vous trouverez les binaires corrigés dans l’article officiel publié par VEEAM.

En attendant la mise à jour de vos infrastructures, nous vous recommandons la mise en place des mesures suivantes :

Au niveau des serveurs de sauvegarde, nous vous recommandons d’éviter leur exposition sur des réseaux non sécurisés (ndlr : Réseaux publiques).

Par défaut, l’installation de VEEAM configure le firewall windows afin d’autoriser toutes les connexions entrantes sur les ports utilisés par la solution.

Nous vous recommandons d’appliquer des règles de filtrage afin de restreindre au strict minimum les services exposés.

Pour ce faire, assurez vous que le par-feu Windows de votre serveur de sauvegarde est activé et configuré pour bloquer les connexions entrantes ne correspondant à aucune règles.

Assurez vous ensuite que les ports utilisés ne sont accessibles que depuis des serveurs de votre infrastructure. Pour un filtrage optimal vous pouvez vous référer à la documentation officielle.

Vous devriez voir la règle de filtrage maintenant restreinte à votre réseau

Si vous n’utilisez pas de mount server, nous vous recommandons de bloquer complètement le port 9401, sinon de le restreindre uniquement depuis l’adresse du/des mount server(s). Plus globalement, nous vous recommandons de bloquer tous les services que vous n’utilisez pas.

Au niveau de l’infrastructure de virtualisation ou des stockages de destination, aucune mitigation n’est envisageable. L’attaquant utilisant des connexions légitimes, il n’est pas possible de les prévenir. Il est donc essentiel de sécuriser tout composant se connectant à ces services.

En cas de compromission

Si vous suspectez une compromission liée à cette attaque, nous vous recommandons de vous rapprocher du support au plus vite afin d’évaluer les solutions vous permettant éventuellement de récupérer vos données.

Références supplémentaires :

https://www.veeam.com/kb4424
https://helpcenter.veeam.com/docs/backup/vsphere/used_ports.html?ver=120

https://www.ovhcloud.com/fr/enterprise/products/hosted-private-cloud/
https://www.ovhcloud.com/fr/enterprise/products/hosted-private-cloud/veeam-backup-managed/
https://www.ovhcloud.com/fr/storage-solutions/veeam-enterprise/