A Veeam 2024. szeptemberében számos termékéhez adott ki biztonsági frissítést, amellyel a Veeam Backup & Replication, a Service Provider Console és ONE szoftvercsomagok 18 súlyos és kritikus hibáját kezeli. A kezelt problémák közül a legsúlyosabb a CVE-2024-40711, amely a Veeam Backup & Replication (VBR) kritikus (CVSS v3.1 pontszám: 9.8) távoli kódfuttatást (RCE) lehetővé tévő sebezhetősége, amely hitelesítés nélkül is kihasználható.
A VBR fontos szerepet játszik az adatvédelemben, hiszen a vállalatok biztonsági mentési infrastruktúrájának kezelésére és biztonságossá tételére használják. A ransomware csoportok a VBR sebezhetőségeit kihasználva kettős zsarolási célból lopják el a szolgáltatás biztonsági másolatát, az egyik az, hogy törlik, a másik pedig az, hogy titkosítják a biztonsági mentések készleteit, így az áldozatok helyreállítási lehetőségek nélkül maradnak.
A hiba a Veeam Backup & Replication 12.1.2.172-es verzióját és a 12-es ág összes korábbi verzióját érinti, ezért a felhasználóknak javasolják a javítások mielőbbi telepítését a VBR 12.2.0.334-es verziójában.
A Veeam közleményében felsorolt többi hiba a Backup & Replication 12.1.2.172-es és régebbi verzióihoz kapcsolódnak:
- CVE-2024-40710:sebezhetőségek sorozata, amelyek lehetővé teszik az alacsony jogosultságokkal rendelkező felhasználók számára a távoli kódfuttatást (RCE) és a bizalmas adatok kinyerését (mentett hitelesítő adatok és jelszavak).
CVSS pontszám: 8.8 “magas”
- CVE-2024-40713:az alacsony jogosultságokkal rendelkező felhasználók módosíthatják a Multi-Factor Authentication (MFA) beállításait, illetve meg is kerülhetik az MFA-t.
CVSS pontszám: 8.8 “magas”
- CVE-2024-40714:A gyenge TLS tanúsítvány érvényesítés lehetővé teszi a hitelesítő adatokhoz való hozzáférést, az ugyanazon a hálózaton végzett visszaállítási műveletek során.
CVSS pontszám: 8.3 “magas”
- CVE-2024-39718: Az alacsony jogosultsági szintű felhasználók távolról eltávolíthatják a szolgáltatásfiókkal egyenértékű engedélyekkel rendelkező fájlokat.
CVSS pontszám: 8.1 “magas”
- CVE-2024-40712: A Path traversal-hoz kapcsolódó sérülékenység lehetővé teszi, hogy egy alacsony jogosultságokkal rendelkező helyi felhasználó local privilege escalation-t (LPE) hajtson végre.
CVSS pontszám: 7.8 “magas”
További kritikus hibák a Veeam termékekben
Ugyanebben a közleményben a Veeam négy további kritikus súlyosságú sebezhetőséget sorol fel, amelyek érintik a Service Provider Console 8.1.0.21377 és korábbi, valamint a ONE termékek 12.1.0.3208-as és régebbi verzióit.
- CVE-2024-42024: a ONE Agent szolgáltatásfiók hitelesítő adataival rendelkező támadók távoli kódfuttatást hajthatnak végre a gazdagépen.
CVSS pontszám 9.1 “kritikus”
- CVE-2024-42019: A Veeam ONE-t is érinti, lehetővé teszi a támadók számára, hogy hozzáférjenek a Reporter Service fiók NTLM hash-hez. Ennek a hibának a kihasználásához előzetes adatgyűjtésre van szükség a VBR-en keresztül.
CVSS pontszám 9.0 “kritikus”
- CVE-2024-38650: a Veeam Service Provider Console sebezhetősége, amely lehetővé teszi az alacsony jogosultsággal rendelkező támadók számára, hogy hozzáférjenek a VSPC szerveren található szolgáltatásfiók NTLM hash-hez.
CVSS-pontszám 9,9 “kritikus”
- CVE-2024-39714: lehetővé teszi az alacsony jogosultsággal rendelkező felhasználók számára, hogy olyan fájlokat töltsenek fel a szerverre, amely távoli kódfuttatást eredményezhet.
CVSS pontszám 9,9 “kritikus”
Minden probléma javításra került a Veeam ONE 12.2.0.4093-as és a Veeam Service Provider Console 8.1.0.21377-es verziójában, melyekre a felhasználóknak ajánlott a lehető leghamarabb frissíteniük.
