Tag: Security

Veeam Decoy Project

Posted on by BAdmin

Partiamo dall’inizio: security e backup.

Al giorno d’oggi , purtroppo, gli attacchi ransowmare sono in continua crescita, e difendersi è una sfida sempre più complessa.

Se prima i backup venivano considerati come un qualcosa di poco importante, magari utili solo in caso di eventuali danni agli storage, oggi sono diventati l’ultima frontiera per mettere in salvo i nostri dati.

Per questo motivo, uno dei principali obiettivi durante un cyber attacco è proprio l’infrastruttura di backup: se i threath actor riescono a metterla fuori gioco, la strada verso il pagamento di un riscatto sarà tutta in discesa.

Le notizie di collaborazioni e integrazioni di prodotti tra i grandi vendor di data protection e quelli di security sono ormai all’ordine del giorno, in ultimo quella tra Veeam e Palo Alto Network Cortex XSIAM/XSOAR.

Tutto questo ci fa capire quanto sia importante focalizzarsi sulla sicurezza di tutti i sistemi, comprese le infrastrutture di backup.

Una delle tante best practice consigliate da Veeam, ad esempio, è quella di cercare di rendere quanto più possibile anonimi i suoi componenti.

Assegnare ai server e ai repository di backup un nome non riconducibile al loro ruolo può essere un primo tentativo per evitare di rendere proprio tutto così facile ad eventuali malintenzionati.

Un altro metodo per cercare di identificare e magari di rallentare un attacco in corso consiste nell’utilizzo degli honeypot: trappole, esche utilizzate per attirare i threat actor e farli uscire allo scoperto.

L’honeypot è un componente che simula il sistema di produzione, magari con le stesse applicazioni, ma con dati non reali.

Nel caso di Veeam Data Platform, l’idea potrebbe essere quella di creare un VBR server aggiuntivo che funge da esca, magari con tanto di backup funzionanti.

Ovviamente questo potrebbe richiedere un effort non indifferente, perchè si dovrebbero utilizzare dei sistemi sacrificabili e non di produzione, con il solo scopo di attirare i malintenzionati e far si che i nostri software di anomaly detection rilevino i tentativi di instrusione o manomissione dell’honeypot.

Un’opzione più semplificata è quella sviluppata dal progetto open source Veeam Decoy.

Questo sistema simula molteplici servizi Veeam e Windows, come i servizi di Veeam Backup Server, Veeam Hardened Repository, Veeam Windows Repository, Veeam Backup Enterprise Manager, SSH, RDP, Netbios.

Supporta l’utilizzo di più schede di rete, per cui ogni servizio può essere a una determinata VLAN, in modo da essere pronto a scenari realistici di attacco con utilizzo di tattiche di lateral movement (TA0008).

Il sistema non riceve alcun traffico in ingresso, per cui ogni connessione riconducibile all’utilizzo di tattiche di discovery (TA0007) dovrebbe rappresentare un tentativo di intrusione.

Questo tool è scaricabile come appliance OVA (compatibile solo con vSphere 8.0) oppure installabile su una Rocky Linux minimal.

La console si presenta con una interfaccia molto semplice ma al tempo stesso completa, dove possiamo gestire lo stato dei servizi di decoy, le interfacce di rete associate e visualizzare in tempo reale porte in uso e log delle connessioni su ogni specifico servizio.


Tutti i tentativi di connessione catturati, comprendenti informazioni come porta sorgente, ip sorgente o credenziali utilizzate, posso essere inviati ad un syslog centralizzato o tramite email, in modo tale da attivare un alerting che può essere prontamente gestito da un SOC.


Certo, non ci aspettiamo che sia la nostra arma più efficace contro i cyber attacchi, ma in questa lotta tra i due mondi è pur sempre un’opzione in più! 💚

CrowdStrike – Global Incident

Posted on by BAdmin

Lo scorso venerdì 19 luglio, la nota azienda software americana CrowdStrike ha provocato un crash su scala mondiale di computer con sistema operativo Windows, impattando sistemi critici di banche, ospedali, trasporti..con conseguente blocco temporaneo dell’operatività quotidiana.

La causa? Un aggiornamento errato della piattaforma AV/EDR Falcon Sensor, rilasciato come configuration update alle 04:09 UTC, che ha comportato il trigger di un errore logico sul OS con conseguente BSOD:

The content is a channel file located in the %WINDIR%\System32\drivers\CrowdStrike directory.

Channel file “C-00000291*.sys” with timestamp of 2024-07-19 0527 UTC or later is the reverted (good) version.

Channel file “C-00000291*.sys” with timestamp of 2024-07-19 0409 UTC is the problematic version.

Come dichiarato in una nota ufficiale dall’azienda https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/, l’aggiornamento è stato corretto alle 05:27 UTC, ma ormai la diffusione del crash era globale.

L’azienda ha successivamente diffuso una procedura per identificare i client Windows coinvolti , nonché un piano di remediation, consigliando di effettuare un reboot ed acquisire la versione corretta del file. Altra possibilità è quella di seguire la procedura Microsoft per entrare in safe mode e cancellare il file incriminato, o in alternativa effettuare il restore del sistema (attenzione ad eventuale chiave Bitlocker presente).

EDIT: è stato rilasciato da Microsoft anche un recovery tool ufficiale per automatizzare il processo di remediation.

Il problema ha impattato non solo pc fisici, ma anche istanze Windows in cloud. Di seguito alcuni link ufficiali per la remediation, come ad esempio Azure e AWS.

In ogni caso, se le istanze problematiche sono protette con software di backup, è sempre possibile effettuare un restore alla versione valida più recente.


Questo evento ci ricorda come il mondo di oggi sia estremamente legato alla tecnologia, ed ai possibili errori umani che, se non limitati, possono portare a conseguenze disastrose.

Veeam ONE 12.1 – Threat Center

Posted on by BAdmin

Veeam ONE è la soluzione di Veeam software che permette di monitorare ambienti virtuali, come vSphere, VMware Cloud Director, Hyper-V, e ambienti di data protection, come Veeam Backup e Replication e Veeam Backup for Office 365.

Come anticipato in un precedente post, nell’ultima versione di Veeam 12.1 è stata introdotta la dashboard Veeam Threat Center.

Questo strumento permette di visualizzare lo stato di sicurezza generale dei nostri VBR, verificando la compliance alle varie best practices indicate da Veeam.

Nello specifico, i widget che troviamo sono:

  • Data Platform Scorecard: mostra un punteggio globale dello stato di salute dei nostri VBR, definito dai parametri Platform Security Compliance, Data Recovery Health, Data Protection Status and Backup Immutability Status
  • Malware Detections: mostra eventuali malware o infezioni sospette sui nostri restore point
  • RPO Anomalies: mostra gli oggetti che sono fuori range rispetto al RPO definito
  • SLA Compliance Overview: evidenzia la percentuale di raggiungimento dei nostri SLA in base a un periodo ed una percentuale di successo definite nella configurazione del widget

Per poter sfruttare tutte le potenzialità di questa dashboard, occorre innanzitutto agganciare il nostro VBR, assicurandosi di selezionare anche la spunta “Provide access to embedded dashboards”:

Prima della configurazione, all’interno della VBR console l’integrazione non risulterà attiva:

Dopo la configurazione, la dashboard verrà popolata con la vista del Veeam Threat Center di Veeam ONE e altri widget utili.

Tip: quando si aggiunge un VBR, attenzione all compatibilità delle licenze dei due prodotti

https://helpcenter.veeam.com/docs/one/deployment/license_types.html?ver=120#compatibility-with-veeam-backup—replication-licenses

Buon lavoro! 💚

Linux xz lbrary vulnerability

Posted on by BAdmin

Lo scorso venerdì è stata segnalata una vulnerabilità importante sulla libreria xz, utilizzata da alcune distribuzione Linux come programma di compressione dati.

Nello specifico, il codice sorgente presente su Github è stato infettato con del codice malevolo opportunamente offuscato, che consente agli attaccanti di creare una backdoor per accedere in ssh ai sistemi infettati.

La CVE è al momento catalogata dal NIST con criticità 10.0, ovvero massima:

https://nvd.nist.gov/vuln/detail/CVE-2024-3094

La vulnerabilità, scoperta quasi per caso da uno sviluppatore Microsoft, è presente nelle versioni 5.6.0 – 5.6.1

Si consiglia pertanto di effettuare il downgrade della versione della libreria xz nei sistemi che presentano tale release, o di disinstallarlo se non utilizzato.

Di seguito anche la nota ufficiale di Red Hat:

https://access.redhat.com/security/cve/CVE-2024-3094

Veeam 11a Patch – EOS

Posted on by BAdmin

Come saprete, dal 1°marzo 2024 diverse versioni ormai datate di prodotti Veeam sono andate in EOS (End of Support).

Tra i prodotti più utilizzati troviamo ad esempio Veeam B&R 11 e Veeam ONE 11:

Per consultare l’elenco completo del product lifecycle Veeam visitare il seguente link:

https://www.veeam.com/product-lifecycle.html

Questa settimana è stata rilasciata, un po’ a sorpresa, una cumulative patch per la V11a di Veeam Backup & Replication:

https://www.veeam.com/kb4245

Questo aggiornamento viene incontro soprattutto a quei clienti che per esigenze di utilizzo devono mantenere la compatibilità con vecchi hypervisor (ad esempio VMware vSphere/Esxi 5.5).

La patch contiene alcune fix del prodotto, ed anche qualche correzione di sicurezza di componenti di terze parti presenti nel software, come ad esempio VDDK, OpenSSL, liblz4, zlib e Putty:

https://www.veeam.com/kb4245

Nota importante: se decidete di installare questa patch, non potrete più passare alla V12.1, ma dovrete attendere l’uscita del prossimo minor update V12.2 (previsto nella seconda metà del 2024).

Per cui, se siete alla V11 e non avete problemi di compatibilità con il resto dell’infrastruttura, il consiglio è di passare all’ultima versione V12.1, sfruttando subito le tante funzionalità aggiuntive.

Di seguito un ultimo link che può risultare utile durante la pianificazione degli aggiornamenti, quello dell’upgrade-path di Veeam B&R.

https://www.veeam.com/kb2053

Buon lavoro! 💚

Veeam v12.1 – Security and Compliance Analyzer

Posted on by BAdmin

In un precedente post, siamo andati ad esplorare le nuove e più interessanti funzionalità della versione 12.1 di Veeam B&R.

In questo post andremo più nel dettaglio del tool che ci consente di tenere sotto controllo lo stato della nostra infrastruttura di backup: il Security and Compliance Analyzer.

INTRODUZIONE

Quando progettiamo e implementiamo le nostre infrastrutture di backup, fare attenzione alle regole di sicurezza è ormai imprescindibile.

Esistono una serie di considerazioni generali che ci aiutano ad hardenizzare i nostri server, cosi come molte best practice che dovrebbero essere applicate ai nostri backup.

Il nuovo tool Security and Compliance Analyzer ci consente appunto di avere un resoconto semplice e intuitivo dell’implementazione di queste best practice sul nostro server di backup.

Andiamo a vedere nel dettaglio il suo funzionamento.

IL TOOL

L’accesso al tool è ben visible nella barra principale della Veeam Console:

Come anticipato in precedenza, i controlli sono divisi in due sezioni: “Backup Infrastructure Security” e “Product Configuration”.

BACKUP INFRASTRUCTURE SECURITY

Come possiamo vedere, si occupa di controllare l’implementazione di di alcune buone pratiche definite per il sistema operativo Windows che ospita il nostro backup server.

  • I primi settaggi che vengono consigliati riguardano la disabilitazione di quei servizi considerati critici, poiché consentono l’interazione remota con il nostro server, ovvero il “Remote Desktop”, il “Remote Registry” e il “Windows Remote Management”.
  • Si passa poi al poco considerato Windows Firewall: la best practice è quella di tenerlo sempre attivo, andando a lavorare con le inbound e outbound rule in caso di necessità. Nota: Veeam B&R crea automaticamente le firewall rule necessarie per far comunicare i propri componenti tra loro.
  • Si consiglia poi di disabilitare le funzionalità “WDigest credentials caching” e “Web Proxy Auto-Discovery service” per prevenire attacchi alle credenziali o di tipo MITM.
  • Il controllo seguente è sulle versioni deprecate di SSL e TLS, come SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1, che dovrebbero essere anch’esse disabilitate.
  • Per quanto riguarda possibili attacchi malware basati su script, buona norma è tentare di limitarli disabilitando lo “Windows Script Host”.
  • Tornando ai protocolli deprecati, anche SMBv1 è tra quelli da disabilitare, poiché affetto da numerose vulnerabilità. Nota: a partire da Windows Server 2016 è disabilitato di default.
  • L’ultimo protocollo da disabilitare è il “Link-Local Multicast Name Resolution”, per limitare attacchi di spoofing e MITM.
  • Infine, viene verificata la sicurezza sul protocollo SMBv3, controllando che siano attive le impostazioni per prevenire attacchi di tipo NTLMv2 relay.

PRODUCT CONFIGURATION

Passiamo ora ai controlli sulle impostazioni lato software.

Le strategie e le configurazioni che Veeam ci consiglia sono ovviamente mirate alla salvaguardia dei nostri backup.

  • MFA per la VBR console: dall v12 è possibile abilitare la multi-factor authentication sulla console di backup.

  • Immutable or offline media: per proteggere i file di backup, si consiglia l’utilizzo di almeno un repository con la funzionalità di immutabilità dei dati attiva o un media che può essere scollegato dalla rete, come tape o rotated drives.
  • Password loss protection: settaggio di Veeam Enterprise Manager che consente di decriptare i nostri dati di backup nel caso in cui la password di encryption venga persa.
  • Dominio o non dominio?: Veeam ci consiglia di lasciare il nostro server, e il resto dei componenti dell’infrastruttura, a Workgroup. Nota: nel caso in cui si voglia utilizzare il join con AD, è buona pratica creare un dominio di management dedicato esclusivamente all’ambiente di backup.
  • Email notification: ricordarsi sempre di attivare le notifiche tramite email, è indispensabile per tenere sotto controllo l’esito dei backup e gli altri eventi che accadono nel sistema.
  • 3-2-1 rule: la regola d’oro ci consiglia di avere almeno 3 copie del dato (compreso il dato originale, quindi due copie di backup), su almeno 2 media differenti e 1 copia offsite. Nota: la regola si è ormai evoluta in 3-2-1-1-0, dove il secondo 1 è la copia offline/immutabile, e lo 0 indica la necessità di implementare una procedura automatizzata di validazione dei nostri backup, e senza errori durante i test di verifica.

  • Reverse Incremental: è il metodo che produce più operazioni di lettura e scrittura sul nostro repository, da abbandonare in favore dell’incrementale standard.
  • Unknown Linux servers: nel caso si debbano aggiungere server linux alla nostra infrastruttura di backup, è consigliato trustarli in maniera manuale piuttosto che automatica.
  • Configuration Backup: da best practice, il backup della configurazione dovrebbe essere salvato su un repository esterno al backup server stesso. Nota: dalla 12.1 è possibile selezionare anche per questo task un repository object storage immutabile.
  • Proxy traffic encryption: se i nostri proxy virtuali utilizzano il transport mode di tipo network, è consigliato l’utilizzo dell’encryption (NBDSSL).
  • Physical Hardened repository: per ridurre la superficie di attacco, il repository di tipo hardened dovrebbe risiedere su un server fisico (e con dischi locali) anziché su uno virtuale.
  • Network traffic encryption: per consentire una comunicazione sicura nella nostra rete di backup, sia verso internet che verso le reti private, si consiglia di abilitare globalmente l’encryption nelle impostazioni generali del software.
  • Linux authentication: la best practice consiglia di non utlizzare l’autenticazione basata su password per i nostri server linux, ma di entrare in SSH tramite l’utilizzo della coppia chiave pubblica-chiave privata, prevenendo attacchi di tipo brute force e MITM.
  • Backup services: si consiglia di utilizzare “Local System” come account per i nostri servizi Veeam.
  • Configuration backup encryption: si consiglia di utilizzare l’encryption anche sul backup della configurazione di Veeam, per una gestione più sicura dei dati sensibili presenti nel DB.
  • Password rotation: il controllo è sulle credenziali dei vari componenti aggiunti alla nostra infrastruttura di backup e sulla password di encryption, che dovrebbero essere cambiate almeno una volta all’anno.
  • Hardened repository access: come best practice, l’SSH su questo tipo di repository dovrebbe essere disabilitato.
  • S3 object lock type: questo controllo verifica che l’immutabilità impostata sugli S3 aggiunti su Veeam sia di tipo Compliance (non modificabile) e non di tipo Governance (modificabile), andando incontro ad eventuali politiche sul trattamento del dato (es: GDPR) ed ovviamente alla sicurezza di effettiva immutabilità dei backup.
  • Backup encryption: soprattutto se i nostri backup vengono salvati su un repository cloud, è buona norma abilitare l’encryption a livello di singolo job.
  • Latest updates: si consiglia di tenere il software Veeam B&R sempre aggiornato all’ultima release/patch.

IMPLEMENTAZIONE

Per facilitare l’implementazione della maggior parte di queste best practice, Veeam ha messo a disposizione sulle proprie KB uno script in powershell che corregge tutti gli 11 punti relativi alla backup infrastructure e 2 punti relativi alla product infrastructure, mentre le impostazioni che necessitano di settaggi custom (come, ad esempio, l’impostazione del nostro mail server, la scelta di un repository, gli utenti per cui attivare l’MFA, ecc..) sono ovviamente lasciate alla configurazione manuale da parte del backup administrator.

Di seguito il link per scaricare lo script: https://www.veeam.com/kb4525

UTILIZZO

Il tool può essere utilizzato sia in maniera interattiva che automatica.

È possibile, infatti, impostare un report con schedulazione giornaliera e invio tramite email.

Infine, è possibile anche escludere uno o più parametri dai controlli, marcandoli come “suppressed”.

CONCLUSIONE

Non ci stancheremo mai di ripetere quanto sia importante la sicurezza, soprattutto per i backup, che sono la nostra ultima difesa contro la perdita o la corruzione dei nostri dati. Questo strumento migliorato è un buon punto di partenza per aiutarci a tenere la situazione sotto controllo.

Concludiamo il post riproponendo i soliti altri link utili riguardanti la sicurezza e le best practice, con la speranza che anche il Security and Compliance Analyzer venga sempre più sviluppato e migliorato secondo le linee guida in continua evoluzione.

https://helpcenter.veeam.com/docs/backup/vsphere/security_guidelines.html?ver=120

https://bp.veeam.com/security

https://go.veeam.com/rs/870-LBG-312/images/veeam-security-checklist.pdf 

https://go.veeam.com/rs/870-LBG-312/images/veeam-security-best-practices-2022.pdf

https://community.veeam.com/cyber-security-space-95/hardening-veeam-12-server-the-definitive-checklist-4255

Buon lavoro! 💚