Vulnerabilidades críticas en Veeam
Veeam advierte a sus clientes que parcheen una vulnerabilidad de seguridad crítica que permite a atacantes no autenticados iniciar sesión en cualquier cuenta a través de Veeam Backup Enterprise Manager (VBEM).
VBEM es una plataforma basada en web que permite a los administradores gestionar las instalaciones de Veeam Backup & Replication a través de una única consola web. Ayuda a controlar los trabajos de respaldo y realizar operaciones de restauración en toda la infraestructura de respaldo de una organización y en implementaciones a gran escala.
Es importante tener en cuenta que VBEM no está habilitado de forma predeterminada y no todos los entornos son susceptibles a ataques que explotan esta vulnerabilidad.
El error, identificado como CVE-2024-29849 (CVSS de 9,8/10) "permite a un atacante no autenticado iniciar sesión en la interfaz web de Veeam Backup Enterprise Manager como cualquier usuario", explica la empresa.
Los administradores que no pueden actualizar inmediatamente a VBEM versión 12.1.2.172, que corrige esta falla de seguridad, aún pueden mitigarla deteniendo y deshabilitando los servicios VeeamEnterpriseManagerSvc (Veeam Backup Enterprise Manager) y VeeamRESTSvc (Veeam RESTful API).
Si no está en uso actualmente, Veeam Backup Enterprise Manager también se puede desinstalar siguiendo estas instrucciones para eliminar el vector de ataque.
Veeam también parcheó otras dos vulnerabilidades VBEM de alta gravedad, una que permite la apropiación de cuentas a través de retransmisión NTLM (CVE-2024-29850) y una segunda que permite a usuarios con altos privilegios robar el hash NTLM de la cuenta de servicio Veeam Backup Enterprise Manager si es no configurado para ejecutarse como la cuenta predeterminada del sistema local (CVE-2024-29851).
Se han parcheado las siguientes vulnerabilidades en Veeam Backup Enterprise Manager (VBEM):
- CVE-2024-29849 (Crítica (9,8): esta vulnerabilidad permite que un atacante no autenticado inicie sesión en la interfaz web de Veeam Backup Enterprise Manager como cualquier usuario.
- CVE-2024-29850 (Alta 8,8): esta vulnerabilidad permite la toma de cuentas a través de retransmisión NTLM.
- CVE-2024-29851 (Alta 7,2): esta vulnerabilidad permite a un usuario con altos privilegios robar el hash NTLM de la cuenta de servicio de Veeam Backup Enterprise Manager si esa cuenta de servicio no es la cuenta predeterminada del sistema local.
- CVE-2024-29852 (Baja 2,7): esta vulnerabilidad permite a los usuarios con altos privilegios leer registros de sesiones de respaldo. Veeam Agent para Windows (VAW).
Defectos de Veeam apuntados a ataques de ransomware
En marzo de 2023, Veeam parcheó una vulnerabilidad de alta gravedad (CVE-2023-27532) en el software de copia de seguridad y replicación que podría explotarse para violar los hosts de la infraestructura de backup.
Esta vulnerabilidad fue posteriormente explotada en ataques atribuidos al grupo de amenazas FIN7 con motivación financiera, vinculados a varias operaciones de ransomware como Conti, REvil, Maze, Egregor y BlackBasta.
Meses después, los afiliados del ransomware Cuba utilizaron la misma vulnerabilidad en ataques dirigidos a infraestructura crítica de EE.UU. y empresas de TI de América Latina.
En noviembre, la compañía lanzó revisiones para abordar otras dos fallas críticas (con puntuaciones base CVSS de 9,8 y 9,9/10) en su plataforma de análisis y monitoreo de infraestructura de TI ONE. Estas fallas permiten a los actores de amenazas obtener la ejecución remota de código (CVE-2023-38547) y robar hashes NTLM (CVE-2023-38548) de servidores vulnerables.
Fuente: BC
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!