„Veeam“ išleido kelių savo produktų saugos naujinimus kaip vieną 2024 m. rugsėjo mėn. saugos biuletenį, kuriame nagrinėjama 18 didelių ir kritinių „Veeam“ atsarginės kopijos ir replikacijos, paslaugų teikėjo konsolės ir „One“ klaidų.
Sunkiausia iš sprendžiamų problemų yra CVE-2024-40711kritinis (CVSS v3.1 balas: 9,8) nuotolinio kodo vykdymo (RCE) pažeidžiamumas sistemoje Veeam Backup & Replication (VBR), kurį galima išnaudoti be autentifikavimo.
VBR naudojamas įmonių atsarginės kopijos infrastruktūrai valdyti ir apsaugoti, todėl ji atlieka svarbų vaidmenį duomenų apsaugai. Kadangi jis gali būti šoninio judėjimo sukimosi taškas, jis laikomas labai vertingu išpirkos reikalaujančių programų operatorių taikiniu.
Ransomware aktoriai taiko paslaugą, kad pavogtų atsargines kopijas, kad būtų galima dvigubai prievartauti, ir ištrinti / užšifruoti atsarginių kopijų rinkinius, todėl aukos lieka be atkūrimo galimybių.
Anksčiau Kubos išpirkos reikalaujančių programų gauja ir FIN7, bendradarbiaujantys su „Conti“, „REvil“, „Maze“, „Egregor“ ir „BlackBasta“, buvo nukreipti į VBR pažeidžiamumą.
Trūkumas, apie kurį pranešta per HackerOne, turi įtakos Veeam Backup & Replication 12.1.2.172 ir visoms ankstesnėms 12 šakos versijoms.
Nors šiuo metu nebuvo atskleista daug detalių, dėl kritinių RCE trūkumų paprastai galima visiškai perimti sistemą, todėl vartotojai neturėtų atidėti pataisų diegimo VBR versijoje 12.2.0.334.
Kiti biuletenyje išvardyti trūkumai yra susiję su atsarginių kopijų kūrimo ir replikacijos 12.1.2.172 ir senesnėmis versijomis:
- CVE-2024-40710: pažeidžiamumų, leidžiančių nuotoliniu būdu vykdyti kodą (RCE) ir išskirti neskelbtinus duomenis (išsaugotus kredencialus ir slaptažodžius), kurį gali atlikti mažas privilegijas turintis vartotojas. (CVSS balas: 8,8 „aukštas”)
- CVE-2024-40713: žemų privilegijų turintys vartotojai gali keisti kelių faktorių autentifikavimo (MFA) nustatymus ir apeiti MFA. (CVSS balas: 8,8 „aukštas”)
- CVE-2024-40714: Silpnas TLS sertifikato patvirtinimas leidžia perimti kredencialus atliekant atkūrimo operacijas tame pačiame tinkle. (CVSS balas: 8,3 „aukštas“)
- CVE-2024-39718: žemų privilegijų turintys vartotojai gali nuotoliniu būdu pašalinti failus, kurių leidimai yra lygiaverčiai paslaugos paskyrai. (CVSS balas: 8,1 „aukštas”)
- CVE-2024-40712: Path traversal pažeidžiamumas leidžia vietiniam žemų privilegijų vartotojui atlikti vietinių privilegijų eskalavimą (LPE). (CVSS balas: 7,8 „aukštas“)
Daugiau kritinių Veeam produktų trūkumų
Tame pačiame biuletenyje Veeam išvardija dar keturis kritinio sunkumo pažeidžiamumus, turinčius įtakos paslaugų teikėjo konsolės 8.1.0.21377 ir senesnėms versijoms bei ONE produkto 12.1.0.3208 ir senesnėms versijoms.
Pradedant nuo CVE-2024-42024 (CVSS balas 9,1), užpuolikas, turintis ONE Agent paslaugos paskyros kredencialus, gali nuotoliniu būdu vykdyti kodą pagrindiniame kompiuteryje.
Veeam ONE taip pat turi įtakos CVE-2024-42019 (CVSS balas 9,0), kuris leidžia užpuolikui pasiekti Reporter Service paskyros NTLM maišą. Norint išnaudoti šį trūkumą, reikia iš anksto rinkti duomenis per VBR.
„Veeam“ paslaugų teikėjo konsolėje yra CVE-2024-38650 (CVSS balas 9,9), leidžiantis žemų privilegijų užpuolikui pasiekti paslaugos paskyros NTLM maišą VSPC serveryje.
Antroji kritinė problema sekama kaip CVE-2024-39714 (CVSS balas 9,9) ir suteikia galimybę žemų privilegijų turinčiam vartotojui įkelti savavališkus failus į serverį, todėl kodas vykdomas nuotoliniu būdu.
Visos problemos buvo išspręstos naudojant Veeam ONE versiją 12.2.0.4093 ir Veeam Service Provider Console versiją 8.1.0.21377, kurias vartotojai turėtų kuo greičiau atnaujinti.