Vulnerabilidades en Productos Veeam

Se han reportado nuevas vulnerabilidades en los productos Veeam, de las cuales cinco se clasifican de gravedad. Las vulnerabilidades afectan a diversos productos y versiones, lo que puede comprometer la seguridad de los sistemas afectados.

Productos afectados:

  • Veeam Backup & Replication 12.1.2.172
  • Veeam ONE 12.1.0.3208
  • Veeam Service Provider Console 8.0.0.19552
  • Veeam Agent for Linux  6.1.2.1781 
  • Veeam Backup para Nutanix AHV Plug-In 12.5.1.8 
  • Veeam Backup para Oracle Linux Virtualization Manager y Red Hat Virtualization Plug-In 12.4.1.45

Impacto:

Las vulnerabilidades de severidad crítica se identifican como:

CVE-2024-40711: Esta vulnerabilidad permite a un actor malicioso elevar sus privilegios dentro del sistema, obteniendo acceso a funcionalidades o datos que normalmente estarían restringidos. La explotación de esta vulnerabilidad podría permitir la ejecución de acciones no autorizadas y la manipulación de configuraciones críticas.

CVE-2024-42024: con una puntuación de 9,1. Una vulnerabilidad que permite a un actor malicioso en posesión de las credenciales de cuenta de la cuenta de servicio Veeam ONE Agent realizar la ejecución remota de código en la máquina donde se instala el Veeam ONE Agent.

CVE-2024-42019: con una puntuación de 9,0. Una vulnerabilidad que permite a un actor malicioso acceder al hash NTLM de la cuenta de servicio de servicio Veeam Reporter. Este ataque requiere la interacción del usuario y los datos recopilados de Veeam Backup & Replication.

CVE-2024-38650: con una puntuación de 9.9  Una vulnerabilidad que permite a un actor malicioso poco privilegiado acceder al hash NTLM de cuenta de servicio en el servidor VSPC.

CVE-2024-39714: con una puntuación de 9,9. Una vulnerabilidad que permite a un usuario de bajo privilegiado subir archivos arbitrarios al servidor, lo que conduce a la ejecución de código remoto en el servidor VSPC.

Las vulnerabilidades de severidad alta se identifican como: 

CVE-2024-40713: con una puntuación de 8,8 Una vulnerabilidad que permite al usuario a quien se le ha asignado un papel de bajo privilegiado dentro de Veeam Backup & Replication alterar la configuración de Auténtica Multi-Factor (MFA) y evitar MFA.

CVE-2024-40710: con una puntuación de 8,8. Una serie de vulnerabilidades de alta gravedad relacionadas, la más notable que permite la ejecución de código remoto (RCE) como cuenta de servicio y extracción de información sensible (credenciales y contraseñas guardadas). La explotación de estas vulnerabilidades requiere que un usuario al que se le haya asignado .

CVE-2024-39718: con una puntuación de 8,1. Una vulnerabilidad que permite a un usuario de bajo privilegiado eliminar archivos remotamente en el sistema con permisos equivalentes a los de la cuenta de servicio.

CVE-2024-40714: con una puntuación de  8,3. Una vulnerabilidad en la validación del certificado TLS permite a un actor malicioso en la misma red interceptar credenciales sensibles durante las operaciones de restauración.

CVE-2024-40712: con una puntuación 7,8. Una vulnerabilidad de trayectoria permite a un actor malicioso con una cuenta de baja privilegiada y acceso local al sistema para realizar una escalada de privilegios locales (LPE).

CVE-2024-40709: con una puntuación de 7,8. Una vulnerabilidad que permite a un usuario local de baja privilegiado en la máquina escalar sus privilegios al nivel de root.

CVE-2024-42023: con una puntuación de 8,8. Una vulnerabilidad que permite a los usuarios de bajo privilegiado ejecutar código con privilegios de Administrador de forma remota.

CVE-2024-42021: con una puntuación de 7,5. Una vulnerabilidad que permite a un actor malicioso con fichas de acceso válidas acceder a credenciales guardadas.

CVE-2024-42022: con una puntuación de 7,5. Una vulnerabilidad que permite a un actor malicioso modificar los archivos de configuración del producto.

CVE-2024-42020: con una puntuación de 7,3. Una vulnerabilidad en Reporter Widgets que permite la inyección de HTML.

CVE-2024-39715: con una puntuación de 8,5. Una vulnerabilidad que permite a un usuario de baja privilegiado con acceso REST API concedido a cargar archivos arbitrarios de carga remota al servidor VSPC usando REST API, lo que conduce a la ejecución de código remoto en el servidor VSPC.

CVE-2024-38651: con una puntuación de 8,5. Una vulnerabilidad que permite a un usuario de bajo privilegiado sobrescribir archivos en ese servidor VSPC, lo que puede llevar a la ejecución de código remoto en el servidor VSPC.

CVE-2024-40718: con una puntuación de 8,8. Una vulnerabilidad que permite a un usuario de bajo privilegio realizar una escalada de privilegios local mediante la explotación de una vulnerabilidad de la SSRF.

Recomendación:
Actualizar a la última versión más reciente disponible del producto afectado desde la página web oficial del fabricante. 

Referencias:

https://www.veeam.com/kb4649

Compartir: