Falhas Críticas Descobertas no Software de Monitoramento de TI Veeam One
7 de Novembro de 2023

A Veeam lançou atualizações de segurança para corrigir quatro falhas em sua plataforma de monitoramento e análise de TI ONE, duas das quais são classificadas como críticas em severidade.

A lista de vulnerabilidades é a seguinte:

CVE-2023-38547 (pontuação CVSS: 9.9) - Uma falha não especificada que pode ser explorada por um usuário não autenticado para obter informações sobre a conexão SQL do servidor que o Veeam ONE usa para acessar seu banco de dados de configuração, resultando na execução remota de código no servidor SQL.


CVE-2023-38548 (pontuação CVSS: 9.8) - Um defeito no Veeam ONE que permite a um usuário não privilegiado com acesso ao cliente web Veeam ONE obter o hash NTLM da conta utilizada pelo serviço de relatórios Veeam ONE.


CVE-2023-38549 (pontuação CVSS: 4.5) - Uma vulnerabilidade de cross-site scripting (XSS) que permite a um usuário com o papel de Power User Veeam ONE obter o token de acesso de um usuário com o papel de Administrador Veeam ONE.


CVE-2023-41723 (pontuação CVSS: 4.3) - Uma vulnerabilidade no Veeam ONE que permite a um usuário com o papel de Usuário Leitura Apenas do Veeam ONE visualizar a Programação do Painel.

Enquanto CVE-2023-38547 , CVE-2023-38548 e CVE-2023-41723 afetam as versões 11, 11a e 12 do Veeam ONE, o CVE-2023-38548 afeta apenas o Veeam ONE 12.

As correções para as questões estão disponíveis nas versões abaixo -

Veeam ONE 11 (11.0.0.1379)
Veeam ONE 11a (11.0.1.1880)
Veeam ONE 12 P20230314 (12.0.1.2591)

Nos últimos meses, falhas críticas no software de backup Veeam foram exploradas por vários atores de ameaças, incluindo FIN7 e ransomware BlackCat, para distribuir malware.

Usuários que estão executando as versões afetadas são recomendados a interromper os serviços de Monitoramento e Relatórios da Veeam ONE, substitua os arquivos existentes pelos arquivos fornecidos na correção rápida e reinicie os dois serviços.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...