Veeam publicó revisiones para abordar cuatro vulnerabilidades (dos críticas) en la plataforma de análisis y monitoreo de infraestructura de Veeam ONE IT.
La compañía asignó calificaciones de gravedad casi máximas (puntuaciones base CVSS de 9,8 y 9,9/10) a las fallas de seguridad críticas, ya que permitieron a los atacantes obtener ejecución remota de código (RCE) y robar hashes NTLM de servidores vulnerables. Los dos restantes son errores de gravedad media que requieren la interacción del usuario o tienen un impacto limitado.
"Una vulnerabilidad en Veeam ONE permite a un usuario no autenticado obtener información sobre la conexión del servidor SQL que Veeam ONE utiliza para acceder a su base de datos de configuración. Esto puede conducir a la ejecución remota de código en el servidor SQL que aloja la base de datos de configuración de Veeam ONE", dice el primer aviso, rastreado como CVE-2023-38547.
"Una vulnerabilidad en Veeam ONE permite a un usuario sin privilegios que tiene acceso al cliente web Veeam ONE la capacidad de adquirir el hash NTLM de la cuenta utilizada por Veeam ONE Reporting Service", dice la compañía al describir la segunda vulnerabilidad crítica (CVE- 2023-38548).
Veeam también corrigió una falla de seguridad identificada como CVE-2023-38549 que podría permitir a atacantes con roles de usuario avanzado robar el token de acceso de un administrador en un ataque de Cross-Site Scripting (XSS), que requiere la interacción del usuario por parte de alguien con el role administrador de Veeam ONE.
CVE-2023-41723, la cuarta vulnerabilidad abordada hoy, puede ser aprovechada por actores malintencionados con la función de usuario de solo lectura para acceder al calendario del panel (el atacante no puede realizar cambios).
Estas fallas afectan las versiones de Veeam ONE con soporte activo hasta la última versión, y la compañía ha lanzado las siguientes revisiones para parchearlas (los enlaces de descarga están disponibles en este aviso de seguridad):
- Veeam ONE 12 P20230314 (12.0.1.2591)
- Veeam ONE 11a (11.0.1.1880)
- Veeam ONE 11 (11.0.0.1379)
Los administradores deben detener los servicios de monitoreo y generación de informes de Veeam ONE en los servidores afectados, reemplazar los archivos en el disco con los archivos de la revisión y reiniciar los servicios para implementar las revisiones.
En marzo, Veeam también solucionó una vulnerabilidad del servicio de respaldo de alta gravedad (CVE-2023-27532) en el software de respaldo y replicación que puede usarse para violar los hosts de la infraestructura de respaldo.
Posteriormente, esta falla fue objetivo de ataques vinculados al grupo de amenazas FIN7 con motivación financiera, conocido por sus conexiones con múltiples operaciones de ransomware, incluido el sindicato Conti, REvil, Maze, Egregor y BlackBasta.
Meses después, la banda de ransomware Cuba aprovechó el error para atacar a organizaciones de infraestructura crítica en Estados Unidos y empresas de TI en América Latina.
Veeam afirma que su software es utilizado por más de 450.000 clientes en todo el mundo, abarcando el 82% de las empresas Fortune 500 y el 72% de las que figuran en el ranking anual Global 2.000.
Fuente: BC