Af Eskil Sørensen, 22/05/24
Veeam har i dag advaret sine kunder om en kritisk sårbarhed, der gør det muligt for uautoriserede angribere at logge ind på en hvilken som helst konto via Veeam Backup Enterprise Manager (VBEM).
Det skriver Bleeping Computer.
Sårbarheden har id’et CVE-2024-29849 og en CVSS-score på 9,8.
VBEM er en webbaseret platform, som bruges til at administrere Veeam Backup & Replication-installationer via en enkelt webkonsol. Det hjælper med at kontrollere backup-opgaver og udføre gendannelsesoperationer på tværs af en organisations backup-infrastruktur og store implementeringer.
VBEM er ikke er aktiveret som standard, og derfor er ikke alle miljøer modtagelige for angreb, hvor CVE-2024-29849 udnyttes.
Sårbarheden er håndteret i VBEM version 12.1.2.172, som det anbefales at opgradere til. Er det ikke muligt at opgradere, kan man stadig afhjælpe risikoen ved udnyttelse ved at stoppe og deaktivere tjenesterne VeeamEnterpriseManagerSvc (Veeam Backup Enterprise Manager) og VeeamRESTSvc (Veeam RESTful API).
Bruger man ikke Veeam Backup Enterprise Manager, kan den afinstalleres for at eliminere risikoen.
Veeam har i samme ombæring også rettet to andre VBEM-sårbarheder, CVE-2024-29850 og CVE-2024-29851. Den første gør det muligt for højtprivilegerede brugere at få adgang til Veeam Backup Enterprise Manager-tjenestekontoens NTLM-hash, hvis det er ikke konfigureret til at køre som standardkontoen for det lokale system (CVE-2024-29851).
Bleeping Computer skriver, at Veeams produkter bruges af mere end 450.000 kunder verden over, herunder 74% af alle Global 2.000 virksomheder.