Veeam bugün müşterilerini, kimliği doğrulanmamış saldırganların Veeam Backup Enterprise Manager (VBEM) aracılığıyla herhangi bir hesapta oturum açmasına olanak tanıyan kritik bir güvenlik açığını düzeltmeleri konusunda uyardı.
VBEM, yöneticilerin Veeam Backup & Replication kurulumlarını tek bir web konsolu üzerinden yönetmesine olanak tanıyan web tabanlı bir platformdur. Bir kuruluşun yedekleme altyapısında ve büyük ölçekli dağıtımlarda yedekleme işlerini kontrol etmeye ve geri yükleme işlemleri gerçekleştirmeye yardımcı olur.
VBEM’in varsayılan olarak etkin olmadığını ve tüm ortamların, Veeam’in CVSS taban puanı 9,8/10 ile derecelendirdiği CVE-2024-29849 güvenlik açığından yararlanan saldırılara açık olmadığını unutmamak önemlidir.
Şirket, “Veeam Backup Enterprise Manager’daki bu güvenlik açığı, kimliği doğrulanmamış bir saldırganın Veeam Backup Enterprise Manager web arayüzünde herhangi bir kullanıcı olarak oturum açmasına olanak tanıyor” diye açıklıyor.
Bu güvenlik kusurunu yamalayan VBEM 12.1.2.172 sürümüne hemen yükseltme yapamayan yöneticiler, VeeamEnterpriseManagerSvc (Veeam Backup Enterprise Manager) ve VeeamRESTSvc (Veeam RESTful API) hizmetlerini durdurup devre dışı bırakarak sorunu hafifletebilirler.
Şu anda kullanımda değilse Veeam Backup Enterprise Manager, saldırı vektörünü kaldırmak için bu talimatlar kullanılarak da kaldırılabilir.
Bugün Veeam ayrıca, biri NTLM geçişi (CVE-2024-29850) yoluyla hesap ele geçirmesine izin veren, diğeri ise yüksek ayrıcalıklı kullanıcıların Veeam Backup Enterprise Manager hizmet hesabının NTLM karmasını çalmasına olanak tanıyan iki yüksek önemdeki VBEM güvenlik açığını da yamaladı. varsayılan Yerel Sistem hesabı olarak çalışacak şekilde yapılandırılmamış (CVE-2024-29851).
Fidye yazılımı saldırılarında hedeflenen Veeam kusurları
Mart 2023’te Veeam, Yedekleme ve Çoğaltma yazılımında, yedekleme altyapısı ana bilgisayarlarını ihlal etmek için kullanılabilecek yüksek önem derecesine sahip bir güvenlik açığını (CVE-2023-27532) yamaladı.
Bu güvenlik açığı daha sonra Conti, REvil, Maze, Egregor ve BlackBasta gibi çeşitli fidye yazılımı operasyonlarıyla bağlantılı, mali motivasyonlu FIN7 tehdit grubuna atfedilen saldırılarda kullanıldı.
Aylar sonra, Küba fidye yazılımı bağlı kuruluşları, ABD’nin kritik altyapısını ve Latin Amerika’daki Latin Amerika BT şirketlerini hedef alan saldırılarda aynı güvenlik açığını kullandı.
Kasım ayında şirket, ONE IT altyapı izleme ve analiz platformundaki diğer iki kritik kusuru (9,8 ve 9,9/10 CVSS taban puanlarıyla) ele alan düzeltmeler yayınladı. Bu kusurlar, tehdit aktörlerinin uzaktan kod yürütme (CVE-2023-38547) elde etmesine ve savunmasız sunuculardan NTLM karmalarını (CVE-2023-38548) çalmasına olanak tanır.
Veeam’in ürünleri dünya çapında 450.000’den fazla müşteri tarafından kullanılıyor; buna Global 2.000 şirketin %74’ü de dahil.