🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
الصفحة الرئيسية
مراكز استخبارات التهديدات
ذكاء البرامج الضارة

ثغرات RCE المتعددة التي تؤثر على النسخ الاحتياطي والنسخ المتماثل لـ Beam

تم استغلال العديد من نقاط الضعف الحرجة والشديدة الخطورة التي تؤثر على Veeam Backup & Replication من خلال الإعلان عن أدوات مسلحة بالكامل لتنفيذ التعليمات البرمجية عن بُعد.
تم التحديث بتاريخ
April 17, 2026
تم النشر في
October 24, 2022
اقرأ الدقائق
5
اشترك في أحدث أخبار الصناعة والتهديدات والموارد.
الفئة: ذكاء نقاط الضعففئة نقاط الضعف الأمنية: تنفيذ التعليمات البرمجية عن بُعدغطاء الكهف: CVE-2022-26500 CVE-2022-26501 CVE-2022-26504السيرة الذاتية: 3.0 النتيجة: 8.8 إلى 9.8

ملخص تنفيذي

تهديدتأثيرتخفيف
  • تم استغلال العديد من نقاط الضعف الحرجة والشديدة الخطورة التي تؤثر على Veeam Backup & Replication من خلال الإعلان عن أدوات مسلحة بالكامل لتنفيذ التعليمات البرمجية عن بُعد.
  • يمكن للجهات الفاعلة في مجال التهديد استغلال نقاط الضعف من أجل:
    • احصل على وصول أولي
    • الكشف عن المعلومات الحساسة
    • تنفيذ هجمات DDoS
    • قم بتشفير البنية التحتية باستخدام البرامج الضارة
    • احصل على الامتيازات وقم بتنفيذ التعليمات البرمجية التعسفية عن بُعد
  • الترقية إلى الإصدار 11.0.1.1261 P20220302

التحليل والإسناد

  • كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر قام بتحليل العديد من نقاط الضعف الحرجة وعالية الخطورة التي تؤثر على Veeam Backup & Replication.
  • شوهدت العديد من الجهات الفاعلة في مجال التهديد وهي تعلن عن الأداة المسلحة بالكامل لتنفيذ التعليمات البرمجية عن بُعد لاستغلال الثغرات الأمنية التالية التي تؤثر على Veeam Backup & Replication:
    • CVE-2022-26500 و CVE-2022-26501 مع درجة CVSS V3 9.8
    • CVE-2022-26504 مع درجة CVSS V3 8.8
  • يمكن أن يؤدي الاستغلال الناجح لـ CVEs المذكورة أعلاه إلى:
    • نسخ الملفات داخل حدود اللغة المحلية أو من شبكة SMB بعيدة
    • RCE بدون إذن (حقوق «خدمة الشبكة»)
    • RCE/LPE بدون إذن (حقوق «النظام المحلي»)
[معرف التسمية التوضيحية = «المرفق 21245" align= «alignnone» width="1920"]Veeam Backup & Replication النسخ الاحتياطي والنسخ المتماثل لـ Beam [/caption]

ما هو النسخ الاحتياطي والنسخ المتماثل لـ Veam؟

  • Veeam Backup & Replication هو تطبيق نسخ احتياطي خاص للبيئات الافتراضية المبنية على برامج Hypervisor من VMware و Nutanix AHV و Microsoft Hyper-V.
  • بالإضافة إلى النسخ الاحتياطي واسترداد الأجهزة الافتراضية، يمكنها حماية الملفات والتطبيقات الفردية واستعادتها لبيئات مثل Exchange وSharePoint.

تم استغلال CVEs من قبل الجهات الفاعلة في مجال التهديد

CVE-2022-26500، CVE-2022-26501

  • ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في خدمة توزيع Veeam
  • تسمح خدمة توزيع Veeam، التي تستخدم TCP 9380 مع الإعدادات الافتراضية، للجهات الفاعلة في مجال التهديد التي لم تتم مصادقتها بالوصول إلى وظائف API الداخلية.
  • يسمح هذا المكون للجهات الفاعلة في مجال التهديد بتنفيذ تعليمات برمجية ضارة عن بُعد بدون مصادقة.

CVE-2022-26504

  • ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في برنامج Veam Backup PSManager
  • يسمح Veeam Process.backup.psManager.exe باستخدام TCP 8732 مع الإعدادات الافتراضية للجهات الفاعلة في مجال التهديد من غير المسؤولين بالمصادقة باستخدام بيانات اعتماد المجال.
  • تسمح هذه الثغرة لمهاجمي المجال بتنفيذ تعليمات برمجية ضارة عن بُعد من خلال مهاجمة المكونات الضعيفة مما يؤدي إلى السيطرة على النظام.

معلومات من OSINT

تمكن باحثو CloudSek من العثور على مستودع GitHub باسم «veeam-creds» بالمواصفات التالية:
  • يحتوي على نصوص لاستعادة كلمات المرور من مدير بيانات اعتماد Veeam Backup and Replication.
  • يحتوي المستودع على الملفات الثلاثة التالية:
    • برنامج فييام-get-creds.ps1 - برنامج PowerShell للحصول على الحسابات وفك تشفيرها مباشرة من قاعدة بيانات Veeam.
    • احصل على كريدس.يامل -وحدة بوويرشيل إمباير مع البرنامج النصي Veeam-get-creds.ps1 المعدل.
    • Veampot.py - برنامج Python لمحاكاة استجابات vSphere لاسترداد بيانات الاعتماد المخزنة من Veeam.

الانتماءات المحتملة لبرامج الفدية

  • تم العثور على برنامج ضار يسمى «Veeamp» في البرية يتم استخدامه من خلال اتباع مجموعتين من برامج الفدية لتفريغ بيانات الاعتماد من قاعدة بيانات SQL لبرنامج إدارة النسخ الاحتياطي Veeam.
    • مونتي رانسومواري
    • رانسوموانج رانسوموانج
  • ملف البرامج الضارة هو ملف .NET ثنائي 32 بت يحاول الاتصال بقاعدة بيانات SQL تسمى VeeamBackup عند التشغيل ويقوم بتشغيل الأمر التالي: اختر [user_name]، [كلمة المرور]، [الوصف] من [VeeamBackup]. [dbo]. [أوراق الاعتماد]
  • يقوم برنامج تفريغ بيانات الاعتماد المسمى «Veeamp.exe» بعد عمليات فك التشفير الناجحة بطباعة ما يلي بالترتيب:
    • اسم المستخدم
    • كلمة مرور مشفرة
    • كلمة مرور تم فك تشفيرها
    • وصف

مؤشرات التسوية (IOCs)

استنادًا إلى نتائج VirusTotal، فيما يلي المكونات الأولية للفيديوهات الخاصة بـ Veeamp. تجزئات9AA 1F37517458D635 الإمارات العربية المتحدة 4f9b 43c4770880 eee171E7E4e155 bdee0c BE732DF492B4e795155926d1F8 EC7327C0C5C 5C8E45561 F24F5110 CE5478517 F07EE5292DA627C234b26b 555413A459F 8D7A9641E4A9FCC1099F06A3dأسماءveamp.exevp.exe9a1.exeo_vp.exeعنوان IP13.107.4.52

المراجع

الملحق

[معرف التسمية التوضيحية = «المرفق _21246" aligncenter «العرض ="1142"]Veeam Backup & Replication Functionalities وظائف النسخ الاحتياطي والنسخ المتماثل لـ Beam [/caption] [معرف التسمية التوضيحية = «المرفق» 21247" aligncenter «العرض ="1677"]RCE Execution تنفيذ RCE [/caption]
CloudSek Platform عبارة عن منصة خالية من التعليمات البرمجية تعمل على تشغيل منتجاتنا بقدرات تحليلية تنبؤية للتهديدات.
المشاركات الأخيرة

المقالات الأخيرة

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

احصل على معلومات التهديدات العالمية في الوقت الفعلي

قم بحماية عملك من التهديدات الإلكترونية باستخدام بيانات معلومات التهديدات العالمية في الوقت الفعلي.. تجربة مجانية لمدة 30 يومًا وبدون التزام.
جدولة عرض تجريبي
بيانات معلومات التهديدات في الوقت الحقيقي
مزيد من المعلومات والسياق حول الدردشة تحت الأرض
خدمات البحث حسب الطلب
نموذج لوحة القيادة
موجز معلومات التهديدات العالمية

قم بالحماية والمضي قدمًا الذكاء القابل للتنفيذ

إن Global Cyber Threat Intelligence Feed عبارة عن منصة مبتكرة تجمع المعلومات من مصادر مختلفة لمساعدة الشركات والمؤسسات على البقاء في صدارة الهجمات الإلكترونية المحتملة. توفر هذه الخلاصة تحديثات في الوقت الفعلي للتهديدات الإلكترونية، بما في ذلك البرامج الضارة وعمليات الاحتيال الاحتيالي وغيرها من أشكال الجرائم الإلكترونية.
موثوق بها من قبل أكثر من 400 مؤسسة رائدة
ابدأ
تعرف على المزيد