Zraniteľnosti Veeam
Spoločnosť Veeam vydala bezpečnostnú aktualizáciu Backup & Replication, ktorá rieši viacero zraniteľností umožňujúcich neoverenému útočníkovi obchádzanie bezpečnostných prvkov, zvýšenie privilégií alebo vzdialené vykonávanie kódu.
Zraniteľné systémy:
- Veeam Backup & Replication verzie | 5.0 | 6.1 | 6.5 | 7.0 | 8.0 | 9.0 | 9.5 | 10 | 11 | 12 | 12.1
- Veeam Agent for Windows (VAW) verzie 2.0 až 6.1
- Veeam Service Provider Console (VSPC) | 4.0 | 5.0 | 6.0 | 7.0 | 8.0
Opis činnosti:
CVE-2024-29849 (CVSS skóre 9,8)
Kritická zraniteľnosť CVE-2024-29849 umožňuje neoverenému útočníkovi prihlásiť sa do webového rozhrania Veeam Backup Enterprise Manager ako ľubovoľný používateľ.
Zraniteľná je služba “Veeam.Backup.Enterprise.RestAPIService.exe”, ktorá beží na porte TCP 9398 a slúži ako server REST API pre webovú aplikáciu. Útočník môže zneužiť túto chybu odoslaním špeciálne vytvoreného tokenu jednotného prihlásenia VMware (SSO) do zraniteľnej služby. Token obsahuje falošnú požiadavku na overenie ako správca a adresu URL servera SSO, ktorú Veeam neoveruje. Token SSO zakódovaný v base64 sa dekóduje a interpretuje ako XML a overuje sa prostredníctvom požiadavky SOAP na adresu URL kontrolovanú útočníkom. Falošný server útočníka odpovie na požiadavku na overenie kladne, čím Veeam overí token a udeľuje útočníkovi prístup správcu.
CVE-2024-29850 (CVSS skóre 8,8)
Zraniteľnosť CVE-2024-29850 umožňuje prevzatie účtu prostredníctvom NTLM relay útoku.
CVE-2024-29851 (CVSS skóre: 7,2)
Chyba CVE-2024-29851 umožňuje privilegovanému používateľovi ukradnúť NTLM hash účtu služby Veeam Backup Enterprise Manager, pokiaľ sa nejedná o prednastavený účet Local System.
Spoločnosť Veeam vyriešila v posledných týždňoch aj ďalšie zraniteľnosti:
CVE-2024-29212 (CVSS skóre: 9,9)
Kritická zraniteľnosť CVE-2024-29212 ovplyvňuje Veeam Service Provider Console a umožňuje vzdialené vykonávanie kódu na serveri.
CVE-2024-29853 (CVSS skóre 7,2)
Chyba CVE-2024-29853 umožňuje lokálne zvýšenie oprávnení vo Veeam Agent pre Windows.
Závažnosť zraniteľnosti: Kritická
Možné škody:
- Vzdialené vykonávanie kódu
- Zvýšenie oprávnení
- Obídenie bezpečnostných prvkov
Odporúčania:
Bezodkladná aktualizácia Veeam Backup & Replication na najnovšiu verziu alebo aspoň na verziu 12.1.2.172. Pokiaľ aktualizácia nie je možná, spoločnosť Veeam odporúča zastaviť program Backup Enterprise Manager alebo ďalšie možnosti mitigácie nájdete tu.
Aktualizácia Veeam Agent for Windows aspoň na verziu 6.1.2 (build 6.1.2.134).
Aktualizácia Veeam Service Provider Console aspoň na verziu 7.0.0.18899 alebo 8.0.0.19236.
Odkazy:
https://www.securityweek.com/critical-veeam-vulnerability-leads-to-authentication-bypass/
https://thehackernews.com/2024/05/critical-veeam-backup-enterprise.html