Veeam alerta sobre bug crítico de desvio de autenticação do Backup Enterprise Manager
A Veeam alertou hoje os clientes para corrigir uma vulnerabilidade crítica de segurança que permite que invasores não autenticados façam login em qualquer conta por meio do Veeam Backup Enterprise Manager (VBEM).
VBEM é uma plataforma baseada na web que permite aos administradores gerenciar instalações do Veeam Backup & Replication por meio de um único console web. Ele ajuda a controlar tarefas de backup e a realizar operações de restauração na infraestrutura de backup de uma organização e em implantações em larga escala.
É importante observar que o VBEM não está habilitado por padrão e nem todos os ambientes são suscetíveis a ataques que exploram a vulnerabilidade CVE-2024-29849, que a Veeam classificou com uma pontuação base CVSS de 9,8/10.
“Esta vulnerabilidade no Veeam Backup Enterprise Manager permite que um invasor não autenticado faça login na interface web do Veeam Backup Enterprise Manager como qualquer usuário”, explica a empresa.
Os administradores que não puderem atualizar imediatamente para a versão 12.1.2.172 do VBEM , que corrige essa falha de segurança, ainda poderão mitigá-la interrompendo e desativando os serviços VeeamEnterpriseManagerSvc (Veeam Backup Enterprise Manager) e VeeamRESTSvc (Veeam RESTful API).
Se não estiver em uso, o Veeam Backup Enterprise Manager também poderá ser desinstalado usando estas instruções para remover o vetor de ataque.
Hoje, a Veeam também corrigiu duas vulnerabilidades VBEM de alta gravidade, uma que permite o controle de contas via retransmissão NTLM (CVE-2024-29850) e uma segunda que permite que usuários com altos privilégios roubem o hash NTLM da conta de serviço do Veeam Backup Enterprise Manager se for não configurado para ser executado como a conta padrão do sistema local (CVE-2024-29851).
Falhas da Veeam alvo de ataques de ransomware
Em março de 2023, a Veeam corrigiu uma vulnerabilidade de alta gravidade (CVE-2023-27532) no software de Backup & Replicação que poderia ser explorada para violar hosts de infraestrutura de backup.
Esta vulnerabilidade foi posteriormente explorada em ataques atribuídos ao grupo de ameaças FIN7, com motivação financeira , ligado a várias operações de ransomware, como Conti, REvil, Maze, Egregor e BlackBasta.
Meses depois, as afiliadas de ransomware de Cuba usaram a mesma vulnerabilidade em ataques direcionados à infraestrutura crítica dos EUA e a empresas de TI latino-americanas na América Latina.
Em novembro, a empresa lançou hotfixes para solucionar duas outras falhas críticas (com pontuações básicas CVSS de 9,8 e 9,9/10) em sua plataforma de análise e monitoramento de infraestrutura de TI ONE. Essas falhas permitem que os agentes de ameaças obtenham execução remota de código (CVE-2023-38547) e roubem hashes NTLM (CVE-2023-38548) de servidores vulneráveis.
Os produtos da Veeam são usados por mais de 450 mil clientes em todo o mundo, incluindo 74% de todas as 2.000 empresas globais.
