Veeam alertó a sus usuarios sobre una vulnerabilidad de seguridad crítica que permite a atacantes no autenticados iniciar sesión en cualquier cuenta a través de Veeam Backup Enterprise Manager (VBEM).
Es la primera vulnerabilidad de severidad crítica que la empresa reconoce en VBEM. La calificó con 9.8 de 10 en la versión 3.1 del Sistema de Puntuación de Vulnerabilidad Común (CVSS, por sus siglas en inglés).
VBEM es una aplicación web que permite a los administradores gestionar las instalaciones de la solución de respaldo y replicación (VBR) a través de una única consola. Ayuda a controlar los trabajos de backup y realizar operaciones de restauración en toda la infraestructura de respaldo de una organización.
Según Veeam, la implementación de VBEM es opcional, por lo que no todos los entornos lo tienen instalado. De hecho, advirtió que si no se tiene, ese entorno no se vería afectado por esta vulnerabilidad.
Con sede en Seattle, Washington (Estados Unidos), y oficinas en más de 30 países, Veeam asegura que protege a más de 450,000 clientes en todo el mundo, incluido el 74% de las Global 2000 de Forbes.
Remediación de la vulnerabilidad
De acuerdo con un artículo de la base de conocimiento (KB, por sus siglas en inglés), actualizado el martes, la vulnerabilidad se soluciona con la versión 12.1.2.172 de la plataforma.
Los administradores que no puedan actualizar inmediatamente a dicha versión, aún pueden mitigarla deteniendo y deshabilitando los servicios de Veeam Backup Enterprise Manager y Veeam RESTful API.
Si no está en uso actualmente, Veeam Backup Enterprise Manager también se puede desinstalar para eliminar el vector de ataque.
Veeam parcha otras vulnerabilidades
Veeam también parchó dos vulnerabilidades de alta gravedad de VBEM, una que permite la apropiación de cuentas a través de retransmisión NTLM (CVE-2024-29850) y una segunda que permite a usuarios con altos privilegios robar el hash NTLM de la cuenta de servicio Veeam Backup Enterprise Manager si es no configurado para ejecutarse como la cuenta predeterminada del sistema local (CVE-2024-29851).
En marzo de 2023, Veeam parchó una vulnerabilidad de alta gravedad (CVE-2023-27532) en el software de copia de seguridad y replicación que podría explotarse para violar los hosts de la infraestructura de copia de seguridad.
Esta vulnerabilidad fue posteriormente explotada en ataques atribuidos al grupo de amenazas FIN7 con motivación financiera, vinculados a varias operaciones de ransomware como Conti, REvil, Maze, Egregor y BlackBasta.
Meses después, los afiliados de ransomware de Cuba utilizaron la misma vulnerabilidad en ataques dirigidos a infraestructura crítica de Estados Unidos y empresas tecnológicas en América Latina.
