A Veeam lançou atualizações de segurança para vários de seus produtos como parte de um único boletim de segurança de setembro de 2024 que aborda 18 falhas de alta e crítica gravidade no Veeam Backup & Replication, Service Provider Console e ONE.
O problema mais grave abordado é o CVE-2024-40711, uma vulnerabilidade crítica de execução remota de código (RCE) no Veeam Backup & Replication (VBR) com uma pontuação CVSS v3.1 de 9.8, que pode ser explorada sem autenticação.
O VBR é utilizado para gerenciar e proteger a infraestrutura de backup de empresas, desempenhando assim, um papel crítico na proteção de dados.
Uma vez que pode servir como um ponto de apoio para movimentação lateral, é considerado um alvo de alto valor para operadores de ransomware.
Operadores de ransomware visam o serviço para roubar backups para extorsão dupla e deletar/criptografar conjuntos de backup, deixando as vítimas sem opções de recuperação.
No passado, o gangue de ransomware Cuba e o FIN7, conhecidos por colaborar com Conti, REvil, Maze, Egregor e BlackBasta, foram observados visando vulnerabilidades do VBR.
A falha, que foi relatada via HackerOne, impacta o Veeam Backup & Replication 12.1.2.172 e todas as versões anteriores da filial 12.
Embora muitos detalhes não tenham sido divulgados até o momento, falhas críticas de RCE geralmente permitem uma tomada completa do sistema, então os usuários não devem adiar a instalação dos reparos na versão VBR 12.2.0.334.
As outras falhas listadas no boletim relacionadas às versões do Backup & Replication 12.1.2.172 e anteriores são:
CVE-2024-40710: Série de vulnerabilidades que possibilitam execução remota de código (RCE) e extração de dados sensíveis (credenciais e senhas salvas) por um usuário de baixo privilégio.
(Pontuação CVSS: 8.8 "alta")
CVE-2024-40713: Usuários de baixo privilégio podem alterar as configurações de Multi-Factor Authentication (MFA) e contornar o MFA.
(Pontuação CVSS: 8.8 "alta")
CVE-2024-40714: Validação fraca de certificado TLS permite a interceptação de credenciais durante operações de restauração na mesma rede.
(Pontuação CVSS: 8.3 "alta")
CVE-2024-39718: Usuários de baixo privilégio podem remover arquivos remotamente com permissões equivalentes à conta de serviço.
(Pontuação CVSS: 8.1 "alta")
CVE-2024-40712: Vulnerabilidade de travessia de caminho permite que um usuário local de baixo privilégio realize escalada de privilégios local (LPE).
(Pontuação CVSS: 7.8 "alta")
No mesmo boletim, a Veeam lista mais quatro vulnerabilidades de gravidade crítica impactando suas versões do Service Provider Console 8.1.0.21377 e anteriores e produtos ONE versões 12.1.0.3208 e anteriores.
Começando com o CVE-2024-42024 (pontuação CVSS 9.1), um atacante com credenciais da conta de serviço do ONE Agent pode realizar execução remota de código na máquina host.
O Veeam ONE também é impactado pelo CVE-2024-42019 (pontuação CVSS 9.0), que permite a um atacante acessar o hash NTLM da conta do Serviço de Relatórios.
Explorar essa falha requer coleta de dados prévia através do VBR.
No Veeam Service Provider Console, há o CVE-2024-38650 (pontuação CVSS 9.9) que permite a um atacante de baixo privilégio acessar o hash NTLM da conta de serviço no servidor VSPC.
O segundo problema crítico é rastreado como CVE-2024-39714 (pontuação CVSS 9.9) e permite a um usuário de baixo privilégio fazer upload de arquivos arbitrários no servidor, levando à execução remota de código.
Todos os problemas foram corrigidos na versão Veeam ONE 12.2.0.4093 e Veeam Service Provider Console versão 8.1.0.21377, para as quais os usuários devem atualizar o quanto antes.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...