Veeam alerta sobre bug crítico de desvio de autenticação do Backup Enterprise Manager

VBEM é uma plataforma baseada na web que permite aos administradores gerenciar instalações do Veeam Backup & Replication por meio de um único console web. Ele ajuda a controlar tarefas de backup e a realizar operações de restauração na infraestrutura de backup de uma organização e em implantações em larga escala.

É importante observar que o VBEM não está habilitado por padrão e nem todos os ambientes são suscetíveis a ataques que exploram a vulnerabilidade CVE-2024-29849, que a Veeam classificou com uma pontuação base CVSS de 9,8/10.

“Esta vulnerabilidade no Veeam Backup Enterprise Manager permite que um invasor não autenticado faça login na interface web do Veeam Backup Enterprise Manager como qualquer usuário”, explica a empresa.

Os administradores que não puderem atualizar imediatamente para  a versão 12.1.2.172 do VBEM , que corrige essa falha de segurança, ainda poderão mitigá-la interrompendo e desativando os serviços VeeamEnterpriseManagerSvc (Veeam Backup Enterprise Manager) e VeeamRESTSvc (Veeam RESTful API).

Se não estiver em uso, o Veeam Backup Enterprise Manager também poderá ser desinstalado usando  estas instruções  para remover o vetor de ataque.

Hoje, a Veeam também corrigiu duas vulnerabilidades VBEM de alta gravidade, uma que permite o controle de contas via retransmissão NTLM (CVE-2024-29850) e uma segunda que permite que usuários com altos privilégios roubem o hash NTLM da conta de serviço do Veeam Backup Enterprise Manager se for não configurado para ser executado como a conta padrão do sistema local (CVE-2024-29851).

Falhas da Veeam alvo de ataques de ransomware

Em março de 2023, a Veeam corrigiu  uma vulnerabilidade de alta gravidade (CVE-2023-27532)  no software de Backup & Replicação que poderia ser explorada para violar hosts de infraestrutura de backup.

Esta vulnerabilidade foi posteriormente explorada em ataques  atribuídos ao grupo de ameaças FIN7, com motivação financeira , ligado a várias operações de ransomware, como Conti, REvil, Maze, Egregor e BlackBasta.

Meses depois, as afiliadas de ransomware de Cuba usaram a mesma vulnerabilidade em ataques  direcionados à infraestrutura crítica dos EUA  e a empresas de TI latino-americanas na América Latina.

Em novembro, a empresa lançou hotfixes  para solucionar duas outras falhas críticas  (com pontuações básicas CVSS de 9,8 e 9,9/10) em sua plataforma de análise e monitoramento de infraestrutura de TI ONE. Essas falhas permitem que os agentes de ameaças obtenham execução remota de código (CVE-2023-38547) e roubem hashes NTLM (CVE-2023-38548) de servidores vulneráveis.

Os produtos da Veeam são usados ​​por  mais de 450 mil clientes  em todo o mundo, incluindo 74% de todas as 2.000 empresas globais.