Veeam, saldırganın Veeam ONE izleme platformunun SQL sunucusunda uzaktan kod yürütmesine (RCE) neden olabilecek bir güvenlik açığına karşı uyarıda bulundu.
Veeam ONE 11, 11a ve 12 ayrıca şirketin felaket kurtarma orkestratörünün 5. ve 6. versiyonlarında ve kullanılabilirlik orkestratörünün 4. versiyonlarında da kullanılıyor.
Şirketin tavsiyesine göre, CVE-2023-38547 (CVSS puanı 9,9) “kimliği doğrulanmamış bir kullanıcının Veeam ONE’ın yapılandırma veritabanına erişmek için kullandığı SQL sunucu bağlantısı hakkında bilgi edinmesine olanak tanır.”
Bu bilgiyi elde eden bir saldırgan, yapılandırma veritabanını barındıran sunucuda RCE’yi ele geçirebilir.
İkinci kritik güvenlik açığı olan CVE-2023-38548 (CVSS puanı 9,8), Veeam ONE Web istemcisine erişimi olan ayrıcalıksız bir kullanıcının Veeam ONE Raporlama Hizmeti tarafından kullanılan hesabın Microsoft “NTLM karmasını” almasına olanak tanır.
Şirketin bu hafta başında yamaladığı daha düşük puanlı iki güvenlik açığı da var.
CVE-2023-38549 (CVSS puanı 4,5), yalnızca Veeam ONE Uzman Kullanıcı rolüne sahip bir saldırgan tarafından kullanılabildiğinden daha düşük bir derecelendirmeye sahiptir. Saldırgan, yöneticinin erişim belirtecini almak için siteler arası komut dosyası çalıştırma (XSS) saldırısı kullanabilir.
CVE-2023-41723’te (CVSS puanı 4,3), salt okuma ayrıcalıklarına sahip bir kişi yazılımın kontrol paneli programını görüntüleyebilir.
Şirket, güvenlik açığı testlerinin yalnızca yazılımının şu anda desteklenen sürümlerine karşı yapıldığını belirtti.
Yamalar, Veeam ONE izleme ve raporlama hizmetlerinin durdurulup yeniden başlatılmasını gerektiren düzeltme dosyaları olarak sağlanır.