Veeam heeft 18 kritieke kwetsbaarheden in verschillende oplossingen van security updates voorzien. Onder meer gaat het hierbij om patches voor Veeam Backup & Replication, Veeam Service Provider Console en Veeam One.
Volgens Veeam wordt met de patches van september 2024 in de eerste plaats een zeer kritieke kwetsbaarheid in zijn tool voor het beheren en beveiligen van zakelijke back-up-infrastructuur Veeam Backup & Replication (VBR) opgelost.
De betreffende kwetsbaarheid CVE-2024-40711 kan tot remote code execution (RCE) leiden en kan worden misbruikt zonder authenticatie. Dit maakt de oplossing een aanvalsvector voor laterale bewegingen en daarmee zeer geschikt voor ransomware-aanvallen.
Back-ups kunnen hiermee worden aangevallen en versleuteld, zodat slachtoffers vatbaar zijn voor zogenoemde ‘dubbele’ afpersmomenten. Dit door backups te verwijderen of te versleutelen, zodat slachtoffers geen enkele andere keuze hebben dan betalen. Bekende ransomwarebendes als Conti, REvil, Maze, Egregor en BlackBasta zouden in het verleden al kwetsbaarheden in Veeam VBR in het oog hebben gehad.
De huidige gepatchte kwetsbaarheid richt zich op Veeam VBR versie 12.1.2.172 en alle eerdere versies vanaf 12.0. Gebruikers moeten volgens Veeam direct updaten naar versie 12.2.0.334.
Naast deze kritieke patch zijn er voor Veeam VBR, versie 12.1.2.172 en ouder, ook nog een vijftal andere kwetsbaarheden van een security update voorzien. Met deze patches worden de als ‘high’ aangegeven kwetsbaarheden CVE-2024-40710, CVE-2024-40713, CVE-2024-40714, CVE-2024-39718 en CVE-2024-40712 opgelost.
Meer patches
Daarnaast zijn er patches uitgebracht voor Veeam’s Service Provider Console, versie 8.1.0.21377 en ouder. Hierbij gaat het in eerste instantie om kwetsbaarheid CVE-2024-38650 waarmee aanvallers met lage privileges toegang krijgen tot de NTLM-hash van de service account op de VSPC-server.
De tweede kritieke kwetsbaarheid die voor dit Veeam-product wordt opgelost, is CVE-2024-39714. Deze stelt een gebruiker met lage privileges in staat willekeurige bestanden naar de server up te loaden en zo RCE mogelijk te maken.
Patches voor Veeam ONE
Verder heeft Veeam nog patches uitgebracht voor Veeam ONE, versie 12.1.0.3208 en ouder. Hiervoor is ten eerste de kwetsbaarheid CVE-2024-42024 opgelost. Hiermee kunnen aanvallers met een ONE Agent service account inloggegevens RCE uitvoeren op de host-machine.
Ten slotte patcht Veeam een kwetsbaarheid voor ONE CVE-2024-42019. Deze kwetsbaarheid stelt hackers in staat toegang te krijgen tot de NTLM hash van de Reporter Service account. Hiervoor is wel een eerdere dataverzameling nodig via Veeam VBR.
Lees ook: Veeam Backup for Microsoft 365 v8 versterkt immutable backups