Veeam Backup Enterprise Manager ranjivost
Veeam, vodeći dobavljač rješenja za rezervne kopije za preduzeća širom sveta, nedavno je otkrio kritičnu ranjivost koja utiče na Veeam Backup Enterprise Manager (VBEM). Ova ranjivost, označena kao CVE-2024-29849, ima ocjenu ozbiljnosti od 9.8 na CVSS skali i potencijalno bi mogla da omogući neautorizovanim napadačima da preuzmu korisničke naloge.
VEEAM BACKUP ENTERPRISE MANAGER
Veeam Backup Enterprise Manager (VBEM) služi kao administrativna konzola dizajnirana da pomogne u upravljanju zadacima vezanim za Veeam Backup & Replication kroz infrastrukturu rezervnih kopija organizacije. Njegova uloga u kontroli osjetljivih operacija rezervnih kopija čini ga glavnom metom zlonamjernih aktera, posebno imajući u vidu ekstenzivnu primjenu Veeam rješenja među velikim globalnim preduzećima, uključujući 74% kompanija iz Forbes Global 2000, kao što su Shell, Airbus, Volkswagen Group i Fujifilm.
CVE-2024-29849
Kritična ranjivost, CVE-2024-29849, ima ocjenu ozbiljnosti od 9.8 na CVSS skali. Ova ranjivost utiče na Veeam Backup Enterprise Manager, koji nije podrazumijevano omogućen. Ranjivost omogućava napadačima da zaobiđu autentifikaciju i prijave se na njegov veb interfejs kao bilo koji korisnik bez korisničke interakcije potrebne za daljinsku eksploataciju i niske složenosti napada, što je kritična ranjivost. Uspješna eksploatacija CVE-2024-29849 može dovesti do različitih negativnih posljedica, uključujući, ali ne ograničavajući se na:
- Neovlašteni korisnici mogu da pristupe i eksfiltriraju osjetljive podatke sa Veeam Backup Enterprise Manager veb interfejsa,
- Napadači mogu da iskoriste svoje novootkrivene privilegije da kompromituju druge sisteme ili aplikacije povezane sa pogođenom Veeam Backup Enterprise Manager instancom, što potencijalno može dovesti do šire zloupotrebe,
- Zlonamjerni korisnici mogu da izvrše nenamjerne promjene u konfiguracijama rezervnih kopija, tačkama vraćanja i pravima pristupa unutar Veeam Backup Enterprise Manager interfejsa,
- Napadači mogu da utičuću na sposobnost organizacije da se oporavi od napada ransomware ili drugih incidenata gubitka podataka.
Pored CVE-2024-29849, Veeam je takođe ispravio još tri bezbjednosne ranjivosti.
CVE-2024-29850
Ova ranjivost visoke ozbiljnosti predstavlja opasan vektor za preuzimanje naloga preko NTLM releja. U okruženjima u kojima se koristi NTLM autentifikacija, ova ranjivost bi mogla omogućiti napadačima da presretnu i prenesu sesije autentifikacije, efektivno im omogućavajući neovlašteni pristup Veeam Backup Enterprise Manager sistemu. Ranjivost ima ocjenu ozbiljnosti od 8.8 na CVSS skali.
CVE-2024-29851
Ova ranjivost omogućava korisniku sa visokim privilegijama da ukrade NTLM heš naloga Veeam Backup Enterprise Manager usluge ako je nalog usluge koji koristi Veeam Backup Enterprise Manager konfigurisan da koristi akreditive koji nisu podrazumijevani nalog lokalnog sistema. Ranjivost ima ocjenu ozbiljnosti od 7.2 na CVSS skali.
CVE-2024-29852
Ova ranjivost omogućava omogućava korisnicima sa visokim privilegijama da čitaju dnevnike sesija rezervnih kopija. Ranjivost ima ocjenu ozbiljnosti od 2.7 na CVSS skali.
Uticaj ranjivosti
Ove ranjivosti utiču na sve verzije Veeam Backup & Replication, počevši od 5.0 do 12.1. Međutim, ove ranjivosti su ispravljene smo u Veeam Backup Enterprise Manager 12.1.2.172, koji je upakovan sa Veeam Backup & Replication 12.1.2 (build 12.1.2.172) – jedinoj trenutno podržanoj verziji tog rješenja.
“Veeam Backup Enterprise Manager je kompatibilan za upravljanje Veeam Backup & Replication serverima koji koriste stariju verziju od Veeam Backup Enterprise Manager. Stoga, ako je softver Veeam Backup Enterprise Manager instaliran na namjenskom serveru, Veeam Backup Enterprise Manager može da se nadogradi na verziju 12.1.2.172 bez potrebe da se odmah nadogradi Veeam Backup & Replication.”
– Veeam –
Za organizacije koje ne mogu odmah da nadograde na Veeam Backup Enterprise Manager verziju 12.1.2.172, mjere ublažavanja uključuju zaustavljanje i onemogućavanje određenih usluga ili Veeam Backup Enterprise Manager deinstaliranje ako se ne koristi.
ZAKLJUČAK
Veeam je riješio nekoliko ranjivosti u svom softveru Veeam Backup Enterprise Manager, uključujući CVE-2024-29849 koja omogućava neautorizovano prijavljivanje bilo kog korisnika. Iskorištavanje ove ranjivosti ne može dovesti do brisanja rezervnih kopija, zbog zbog Veeam nepromjenljive rezervne kopije i politike autorizacije četiri oka. To znači da sve promjene napravljene u podacima prvo pregleda drugi administrator pre nego što budu sprovedene.
Za organizacije koje koriste Veeam Backup Enterprise Manager ključno je da primjene preporučenu ispravku što je pre moguće, s obzirom na ekstenzivnu primjenu Veeam rješenja u velikim globalnim preduzećima. Ovo samo naglašava važnost održavanja ažuriranog softvera, brze primijene ispravki i implementacije robusnih bezbjednosnih mjera za zaštitu infrastrukture rezervnih kopija organizacije od potencijalnih prijetnji.
“Kada se ranjivost identifikuje i otkrije, napadači će i dalje pokušavati da iskoriste i urade obrnuti inžinjering ispravke kako bi iskoristili ranjivost na ne ažuriranoj verziji Veeam softvera u svojim pokušajima eksploatacije. Ovo naglašava važnost osiguravanja da korisnici koriste najnovije verzije svih softvera i da su isprvake instalirane na vreme.”
– Veeam –
ZAŠTITA
Da bi se zaštitili od ranjivosti CVE-2024-29849 u Veeam Backup Enterprise Manager, korisnici bi trebalo da ažuriraju svoj softver na najnoviju verziju 12.1.2.172, koja uključuje ispravku za ovu kritičnu ranjivost zaobilaženja autentifikacije. Ako nadogradnja nije opcija, Veeam savjetuje da se zaustavi ili čak deinstalira softver ako se ne koristi. Pored toga, implementacija politike segmentacije mreže i kontrole pristupa može pomoći u ublažavanju potencijalnih rizika dok se ispravka ne može primijeniti.