Veeam警告关键备份企业管理器授权绕过错误

Veeam今天警告客户修补一个严重的安全漏洞，该漏洞允许未经身份验证的攻击者通过Veeam备份企业管理器(VBEM)登录任何帐户。

VBEM是一个基于web的平台，使管理员能够通过单个web控制台管理Veeam Backup & Replication安装。它有助于跨组织的备份基础设施和大规模部署控制备份任务和执行恢复操作。

需要注意的是，VBEM不是默认启用的，并不是所有的环境都容易受到利用CVE-2024-29849漏洞的攻击，Veeam对该漏洞的CVSS基本评分为9.8/10。

该公司解释说:“Veeam Backup Enterprise Manager中的这个漏洞允许未经身份验证的攻击者以任何用户身份登录Veeam Backup Enterprise Manager的web界面。”

不能立即升级到VBEM 12.1.2.172版本(该版本修补了此安全漏洞)的管理员仍然可以通过停止和禁用VeeamEnterpriseManagerSvc (Veeam Backup EnterpriseManager)和VeeamRESTSvc (Veeam RESTful API)服务来缓解该漏洞。

如果目前未使用，也可以使用以下说明卸载Veeam Backup Enterprise Manager以删除攻击向量。

今天，Veeam还修复了两个高级别VBEM漏洞，一个允许通过NTLM中继接管帐户(CVE-2024-29850)，另一个允许高权限用户窃取Veeam Backup Enterprise Manager服务帐户的NTLM哈希值，如果该帐户未配置为默认本地系统帐户(CVE-2024-29851)。

Veeam漏洞成为勒索软件攻击的目标

2023年3月，Veeam修补了Backup & Replication软件中的一个严重漏洞(CVE-2023-27532)，该漏洞可能被利用来破坏备份基础设施主机。

该漏洞随后被金融动机的FIN7威胁组织利用，该组织与Conti、REvil、Maze、Egregor和BlackBasta等各种勒索软件操作有关。

几个月后，古巴的勒索软件分支机构利用同样的漏洞攻击美国的关键基础设施和拉丁美洲的拉丁美洲IT公司。

去年11月，该公司发布了修复程序，以解决其ONE IT基础设施监控和分析平台中的另外两个严重缺陷(CVSS基础分数为9.8和9.9/10)。这些漏洞允许攻击者获得远程代码执行(CVE-2023-38547)，并从易受攻击的服务器窃取NTLM哈希值(CVE-2023-38548)。

Veeam的产品被全球超过45万家客户使用，其中包括74%的全球2000强企业。

原文始发于微信公众号（HackSee）：Veeam警告关键备份企业管理器授权绕过错误