Maandag 9 September 2024
Inleiding
Veeam heeft een beveiligingsbulletin uitgebracht voor meerdere kwetsbaarheden in haar producten, waaronder een kritieke Remote Code Execution-bug. Alle hieronder vermelde kwetsbaarheden zijn gepatcht met de nieuwste productupdates.
De meest urgente kwetsbaarheden zijn als volgt:
Veeam Backup & Replication
CVE-2024-40711 – Een kwetsbaarheid die niet-geverifieerde externe code-uitvoering (RCE) mogelijk maakt. (CVSS v3.1: 9.8 [Kritiek])
CVE-2024-40713 – Een kwetsbaarheid die een gebruiker met een rol met lage privileges binnen Veeam Backup & Replicatie om Multi-Factor Authentication (MFA)-instellingen te wijzigen en MFA te omzeilen. (CVSS v3.1: 8.8 [Hoog])
CVE-2024-40710 – Een reeks gerelateerde kwetsbaarheden met hoge ernst, waarvan de meest opvallende het mogelijk maken van remote code execution (RCE) als serviceaccount en het extraheren van gevoelige informatie (opgeslagen referenties en wachtwoorden). Om deze kwetsbaarheden te exploiteren, is een gebruiker nodig die een rol met lage privileges heeft gekregen binnen Veeam Backup & Replication. (CVSS v3.1: 8.8 [Hoog])
Veeam Agent voor Linux
CVE-2024-40709 – Een kwetsbaarheid waarmee een lokale gebruiker met lage privileges op de machine zijn privileges kan verhogen naar rootniveau. (CVSS v3.1: 7.8 [Hoog])
Veeam ONE
CVE-2024-42024 – Een kwetsbaarheid waarmee een aanvaller met de serviceaccountreferenties van Veeam ONE Agent op afstand code kan uitvoeren op de machine waarop Veeam ONE Agent is geïnstalleerd. (CVSS v3.1: 9.1 [Kritiek])
CVE-2024-42019 – Een kwetsbaarheid waarmee een aanvaller toegang krijgt tot de NTLM-hash van het serviceaccount van Veeam Reporter Service. Deze aanval vereist gebruikersinteractie en gegevens die zijn verzameld van Veeam Backup & Replication. (CVSS v3.1: 9.0 [Kritiek])
CVE-2024-42023 – Een kwetsbaarheid waarmee gebruikers met lage rechten op afstand code kunnen uitvoeren met beheerdersrechten. (CVSS v3.1: 8.8 [Hoog])
Veeam Service Provider Console
CVE-2024-38650 – Een kwetsbaarheid die een aanvaller met lage privileges toegang geeft tot de NTLM-hash van een serviceaccount op de VSPC-server. (CVSS v3.1: 9.9 [Kritiek])
CVE-2024-39714 – Een kwetsbaarheid die een gebruiker met lage privileges toestaat willekeurige bestanden naar de server te uploaden, wat leidt tot uitvoering van externe code op de VSPC-server. (CVSS v3.1: 9.9 [Kritiek])
CVE-2024-39715 – Een kwetsbaarheid die een gebruiker met lage privileges met REST API-toegang toestaat willekeurige bestanden op afstand te uploaden naar de VSPC-server met behulp van REST API, wat leidt tot uitvoering van externe code op de VSPC-server. (CVSS v3.1: 8.5 [Hoog])
Veeam Backup voor Nutanix AHV / Veeam Backup voor Oracle Linux Virtualization Manager en Red Hat Virtualization
CVE-2024-40718 – Een kwetsbaarheid waarmee een gebruiker met lage privileges lokale privilege-escalatie kan uitvoeren door misbruik te maken van een SSRF-kwetsbaarheid. (CVSS v3.1: 8.8 [Hoog])
Betrokken Producten
Veeam Backup & Replicatie <= 12.1.2.172
Veeam ONE <= 6.1.2.1781
Veeam Service Provider Console <= 8.0.0.19552
Veeam Agent voor Linux <= 6.1.2.1781
Veeam Backup voor Nutanix AHV <= 12.5.1.8
Veeam Backup voor Oracle Linux Virtualization Manager en Red Hat Virtualization <= 12.4.1.45
Oplossingen
De nieuwste versies met beveiligingsupdates voor al deze kwetsbaarheden zijn beschikbaar op https://www.veeam.com/products/downloads/latest-version.html