Veeam, Veeam Backup & Replication, Service Provider Console ve One’daki 18 yüksek ve kritik öneme sahip hatayı gideren Eylül 2024 tarihli tek bir güvenlik bülteninin parçası olarak çeşitli ürünleri için güvenlik güncellemeleri yayınladı.
Ele alınan sorunların en ciddi olanı ise; CVE-2024-40711Veeam Backup & Replication (VBR) üzerinde kimlik doğrulaması olmadan istismar edilebilen kritik bir (CVSS v3.1 puanı: 9.8) uzaktan kod yürütme (RCE) güvenlik açığı.
VBR, kuruluşlar için yedekleme altyapısını yönetmek ve güvence altına almak için kullanılır, bu nedenle veri korumasında kritik bir rol oynar. Yatay hareket için bir dönüm noktası görevi görebildiğinden, fidye yazılımı operatörleri için yüksek değerli bir hedef olarak kabul edilir.
Fidye yazılımı saldırganları, çift gasp için yedekleri çalmak ve yedek kümelerini silmek/şifrelemek amacıyla bu hizmeti hedef alıyor, böylece kurbanlar kurtarma seçeneklerinden mahrum kalıyor.
Geçmişte, Conti, REvil, Maze, Egregor ve BlackBasta ile işbirliği yaptığı bilinen Cuba fidye yazılımı çetesi ve FIN7’nin VBR güvenlik açıklarını hedef aldığı gözlemlenmişti.
HackerOne aracılığıyla bildirilen güvenlik açığı, Veeam Backup & Replication 12.1.2.172 ve 12. sürümün tüm önceki sürümlerini etkiliyor.
Her ne kadar henüz pek fazla ayrıntı açıklanmamış olsa da, kritik RCE hataları genellikle sistemin tamamının ele geçirilmesine izin verir, bu nedenle kullanıcılar VBR 12.2.0.334 sürümündeki düzeltmeleri yüklemeyi ertelememelidir.
Bültende listelenen diğer hatalar ise Backup & Replication 12.1.2.172 ve daha eski sürümleriyle ilgilidir:
- CVE-2024-40710: Düşük ayrıcalıklı bir kullanıcı tarafından uzaktan kod yürütülmesine (RCE) ve hassas veri çıkarılmasına (kaydedilmiş kimlik bilgileri ve parolalar) olanak tanıyan bir dizi güvenlik açığı. (CVSS puanı: 8,8 “yüksek”)
- CVE-2024-40713: Düşük ayrıcalıklı kullanıcılar Çok Faktörlü Kimlik Doğrulama (MFA) ayarlarını değiştirebilir ve MFA’yı atlayabilir. (CVSS puanı: 8,8 “yüksek”)
- CVE-2024-40714: Zayıf TLS sertifika doğrulaması, aynı ağdaki geri yükleme işlemleri sırasında kimlik bilgisi kesintisine izin verir. (CVSS puanı: 8,3 “yüksek”)
- CVE-2024-39718: Düşük ayrıcalıklı kullanıcılar, hizmet hesabına eşdeğer izinlere sahip dosyaları uzaktan kaldırabilir. (CVSS puanı: 8.1 “yüksek”)
- CVE-2024-40712: Yol geçişi güvenlik açığı, yerel düşük ayrıcalıklı bir kullanıcının yerel ayrıcalık yükseltme (LPE) gerçekleştirmesine olanak tanır. (CVSS puanı: 7,8 “yüksek”)
Veeam ürünlerindeki daha kritik kusurlar
Aynı bültende Veeam, Service Provider Console 8.1.0.21377 ve önceki sürümleri ile ONE ürünlerinin 12.1.0.3208 ve önceki sürümlerini etkileyen dört kritik öneme sahip güvenlik açığını daha listeliyor.
Başlayarak CVE-2024-42024 (CVSS puanı 9.1), TEK Agent servis hesabı kimlik bilgilerine sahip bir saldırgan, ana makinede uzaktan kod yürütme gerçekleştirebilir.
Veeam ONE ayrıca şunlardan da etkileniyor: CVE-2024-42019 (CVSS puanı 9.0), bir saldırganın Reporter Service hesabının NTLM karma değerine erişmesine olanak tanır. Bu kusurdan yararlanmak için VBR aracılığıyla daha önce veri toplanması gerekir.
Veeam Service Provider Console’da, CVE-2024-38650 (CVSS puanı 9.9) düşük ayrıcalıklı bir saldırganın VSPC sunucusundaki servis hesabının NTLM özetine erişmesine olanak tanır.
İkinci kritik sorun şu şekilde izleniyor: CVE-2024-39714 (CVSS puanı 9.9) ve düşük ayrıcalıklı bir kullanıcının sunucuya keyfi dosyalar yüklemesine olanak tanır, bu da uzaktan kod çalıştırılmasına yol açar.
Veeam ONE sürüm 12.2.0.4093 ve Veeam Service Provider Console sürüm 8.1.0.21377’deki tüm sorunlar giderildi ve kullanıcıların en kısa sürede bu sürümlere yükseltmeleri gerekiyor.