Ένα proof-of-concept (PoC) exploit για μια κρίσιμη ευπάθεια στο Veeam Backup Enterprise Manager (VBEM) είναι πλέον διαθέσιμο στο κοινό, καθιστώντας επείγουσα την εφαρμογή των πιο πρόσφατων ενημερώσεων ασφαλείας από τους διαχειριστές.
Το Veeam Backup Enterprise Manager είναι μια διαδικτυακή πλατφόρμα για τη διαχείριση εγκαταστάσεων Veeam Backup & Replication μέσω μιας κονσόλας web. Βοηθά στον έλεγχο των εργασιών δημιουργίας αντιγράφων ασφαλείας και στην εκτέλεση εργασιών αποκατάστασης.
Η ευπάθεια, για την οποία κυκλοφόρησε PoC exploit, παρακολουθείται ως CVE-2024-29849 και επιτρέπει την παράκαμψη ελέγχου ταυτότητας. Η Veeam εξέδωσε ένα security bulletin για την ευπάθεια στις 21 Μαΐου, προειδοποιώντας ότι επιτρέπει σε απομακρυσμένους μη εξουσιοδοτημένους εισβολείς να συνδεθούν στο web interface του VBEM όπως οποιοσδήποτε χρήστης.
Η εταιρεία προέτρεψε τους πελάτες να διορθώσουν το ζήτημα ασφαλείας, κάνοντας αναβάθμιση στην έκδοση VBEM 12.1.2.172, ενώ έδωσε και κάποιες συμβουλές για όσους δεν μπορούν να εφαρμόσουν την ενημέρωση αμέσως.
Δείτε επίσης: Αύξηση ευπαθειών σε συσκευές IoT
Σε μια έκθεση του Sina Kheirkha, ο ερευνητής κυβερνοασφάλειας εξηγεί ότι το σφάλμα βρίσκεται στην υπηρεσία “Veeam.Backup.Enterprise.RestAPIService.exe“, η οποία σχετίζεται με τη θύρα TCP 9398 και λειτουργεί ως REST API server για το κύριο web application.
Το exploit περιλαμβάνει την αποστολή ενός ειδικά κατασκευασμένου VMware single-sign-on (SSO) token στην ευάλωτη υπηρεσία χρησιμοποιώντας το Veeam API.
Το token περιέχει ένα αίτημα ελέγχου ταυτότητας που υποδύεται έναν διαχειριστή και ένα SSO service URL που η Veeam δεν επαληθεύει.
Το SSO token αποκωδικοποιείται και ερμηνεύεται σε μορφή XML, για να επαληθευτεί η εγκυρότητά του μέσω ενός SOAP request σε μια διεύθυνση URL που ελέγχεται από τον εισβολέα.
Αυτός ο διακομιστής, που έχει δημιουργηθεί από τον εισβολέα, ανταποκρίνεται θετικά στα αιτήματα επικύρωσης, επομένως η Veeam αποδέχεται το αίτημα ελέγχου ταυτότητας και παρέχει πρόσβαση διαχειριστή στον εισβολέα.
Δείτε επίσης: SolarWinds: Επιδιορθώνει την ευπάθεια που αναφέρθηκε από τον NATO Pentester
Το παρεχόμενο exploit δείχνει όλα τα βήματα για την εκμετάλλευση της ευπάθειας.
Πώς να προστατευτείτε από αυτή την ευπάθεια Veeam;
Προς το παρόν, δεν υπάρχουν στοιχεία που να αποδεικνύουν εκμετάλλευση του CVE-2024-29849, αλλά η δημόσια διαθεσιμότητα ενός λειτουργικού exploit θέτει τους χρήστες σε κίνδυνο. Επομένως, η ενημέρωση στην έκδοση 12.1.2.172 ή νεότερη είναι κρίσιμη.
Οι οργανισμοί θα πρέπει να εκλάβουν αυτό το exploit, που στοχεύει το Veeam Backup Enterprise Manager, ως μια κλήση αφύπνισης για να δίνουν πάντα προτεραιότητα στην άμεση εφαρμογή ενημερώσεων ασφαλείας. Η αναμονή για την αντιμετώπιση των τρωτών σημείων μπορεί να αφήσει συστήματα και ευαίσθητα δεδομένα σε κίνδυνο.
Επιπλέον, οι οργανισμοί θα πρέπει να διενεργούν τακτικά ελέγχους ασφαλείας και penetration tests για να αποκαλύψουν πιθανές ευπάθειες προτού μπορέσουν να τις εκμεταλλευτούν οι εισβολείς. Αυτή η προληπτική προσέγγιση μπορεί να βοηθήσει στην πρόληψη τέτοιων επιθέσεων από την πρώτη στιγμή.
Τέλος, είναι σημαντικό για τους οργανισμούς να υιοθετούν ένα ισχυρό security culture και να ενθαρρύνουν τους υπαλλήλους να αναφέρουν οποιαδήποτε ύποπτη δραστηριότητα ή ευπάθεια που μπορεί να συναντήσουν. Με το συνεχώς εξελισσόμενο τοπίο των απειλών στον κυβερνοχώρο, είναι απαραίτητο για τους οργανισμούς να παραμείνουν σε εγρήγορση και να προστατεύουν τα συστήματα και τα δεδομένα τους. Παραμένοντας ενημερωμένοι και εφαρμόζοντας βέλτιστες πρακτικές, οι οργανισμοί μπορούν να προστατευτούν καλύτερα από πιθανές επιθέσεις.
Δείτε επίσης: PHP: Διόρθωση ευπάθειας που επηρεάζει όλες τις εκδόσεις Windows
Όσοι δεν μπορούν να εφαρμόσουν την ενημέρωση, θα πρέπει να κάνουν τα εξής για να μετριάσουν τον κίδυνο:
- Περιορισμός πρόσβασης στο VBEM web interface, περιορίζοντας την πρόσβαση δικτύου μόνο σε αξιόπιστες διευθύνσεις IP.
- Εφαρμογή firewall rules για αποκλεισμό της μη εξουσιοδοτημένης πρόσβασης στις θύρες που χρησιμοποιούνται από τις υπηρεσίες Veeam (π.χ. θύρα 9398 για το REST API).
- Ενεργοποίηση ελέγχου ταυτότητας πολλαπλών παραγόντων για όλους τους λογαριασμούς που έχουν πρόσβαση στο VBEM.
- Εφαρμογή Web Application Firewall για εντοπισμό και αποκλεισμό κακόβουλων αιτημάτων που στοχεύουν το VBEM.
- Τακτικός έλεγχος αρχείων καταγραφής πρόσβασης για τυχόν ύποπτες ή μη εξουσιοδοτημένες προσπάθειες πρόσβασης.
- Απομόνωση διακομιστή VBEM από άλλα κρίσιμα συστήματα εντός του δικτύου για περιορισμό κινδύνου lateral movement.
Πηγή: www.bleepingcomputer.com