Veeam lanzó hoy actualizaciones de seguridad para solucionar dos vulnerabilidades de Service Provider Console (VSPC), incluida una ejecución de código remoto (RCE) crítica descubierta durante una prueba interna.
VSPC, descrita por la empresa como una plataforma BaaS (Backend como Servicio) y DRaaS (Recuperación ante Desastres como Servicio) administrada de forma remota, es utilizada por los proveedores de servicios para monitorear el estado y la seguridad de las copias de seguridad de los clientes, así como para administrar sus cargas de trabajo virtuales, de Microsoft 365 y de nube pública protegidas por Veeam.
La primera falla de seguridad corregida hoy (identificada como CVE-2024-42448 y calificada con una puntuación de gravedad de 9,9/10) permite a los atacantes ejecutar código arbitrario en servidores sin parches desde la máquina del agente de administración de VSPC.
Veeam también ha reparado una vulnerabilidad de alta gravedad (CVE-2024-42449) que puede permitir a los atacantes robar el hash NTLM de la cuenta de servicio del servidor VSPC y utilizar el acceso obtenido para eliminar archivos en el servidor VSPC.
Sin embargo, como explicó la empresa en un aviso de seguridad publicado hoy, estas dos vulnerabilidades solo se pueden explotar con éxito si el agente de administración está autorizado en el servidor de destino.
Las fallas afectan a VPSC 8.1.0.21377 y todas las versiones anteriores, incluidas las compilaciones 8 y 7, pero las versiones de productos no compatibles también se ven afectadas y "deberían considerarse vulnerables", aunque no se hayan probado.
"Alentamos a los proveedores de servicios que utilizan versiones compatibles de Veeam Service Provider Console (versiones 7 y 8) a que actualicen al último parche acumulativo", dijo Veeam. "Se recomienda encarecidamente a los proveedores de servicios que utilizan versiones no compatibles que actualicen a la última versión de Veeam Service Provider Console".
La reciente explotación de vulnerabilidades de Veeam ha demostrado que es crucial aplicar parches a los servidores vulnerables lo antes posible para bloquear posibles ataques.
Como revelaron los responsables de la respuesta a incidentes de Sophos X-Ops el mes pasado, una falla de RCE (CVE-2024-40711) en el software de Backup & Replication (VBR) de Veeam, divulgada en septiembre, ahora se está explotando para implementar el ransomware Frag. La misma vulnerabilidad también se utiliza para obtener ejecución remota de código en servidores VBR vulnerables en ataques de ransomware Akira y Fog.
Fuente: BC