Veeam telah merilis pembaruan keamanan untuk beberapa produknya sebagai bagian dari buletin keamanan tunggal September 2024 yang membahas 18 kelemahan tingkat keparahan tinggi dan kritis di Veeam Backup & Replication, Service Provider Console, dan One.
Masalah paling serius yang dibahas adalah CVE-2024-40711kerentanan eksekusi kode jarak jauh (RCE) kritis (skor CVSS v3.1: 9.8) pada Veeam Backup & Replication (VBR) yang dapat dieksploitasi tanpa autentikasi.
VBR digunakan untuk mengelola dan mengamankan infrastruktur cadangan bagi perusahaan, sehingga memainkan peran penting dalam perlindungan data. Karena dapat berfungsi sebagai titik tumpu untuk pergerakan lateral, VBR dianggap sebagai target bernilai tinggi bagi operator ransomware.
Pelaku ransomware menargetkan layanan untuk mencuri cadangan untuk pemerasan ganda dan menghapus/mengenkripsi set cadangan sehingga korban tidak memiliki opsi pemulihan.
Di masa lalu, Ransomware Kuba geng dan FIN7, diketahui berkolaborasi dengan Conti, REvil, Maze, Egregor, dan BlackBasta, terlihat menargetkan kerentanan VBR.
Kelemahan tersebut, yang dilaporkan melalui HackerOne, memengaruhi Veeam Backup & Replication 12.1.2.172 dan semua versi sebelumnya dari cabang 12.
Meskipun belum banyak rincian yang diungkapkan saat ini, kelemahan kritis RCE secara umum memungkinkan pengambilalihan sistem secara menyeluruh, sehingga pengguna tidak boleh menunda pemasangan perbaikan pada VBR versi 12.2.0.334.
Kelemahan lain yang tercantum dalam buletin terkait dengan versi Backup & Replication 12.1.2.172 dan yang lebih lama adalah:
- CVE-2024-40710: Serangkaian kerentanan yang memungkinkan eksekusi kode jarak jauh (RCE) dan ekstraksi data sensitif (kredensial dan kata sandi yang tersimpan) oleh pengguna dengan hak istimewa rendah. (Skor CVSS: 8,8 “tinggi”)
- CVE-2024-40713: Pengguna dengan hak istimewa rendah dapat mengubah pengaturan Autentikasi Multi-Faktor (MFA) dan melewati MFA. (Skor CVSS: 8,8 “tinggi”)
- CVE-2024-40714: Validasi sertifikat TLS yang lemah memungkinkan intersepsi kredensial selama operasi pemulihan pada jaringan yang sama. (Skor CVSS: 8,3 “tinggi”)
- CVE-2024-39718: Pengguna dengan hak istimewa rendah dapat menghapus file dari jarak jauh dengan izin yang setara dengan akun layanan. (Skor CVSS: 8.1 “tinggi”)
- CVE-2024-40712: Kerentanan traversal jalur memungkinkan pengguna lokal dengan hak istimewa rendah untuk melakukan eskalasi hak istimewa lokal (LPE). (Skor CVSS: 7,8 “tinggi”)
Kelemahan yang lebih kritis pada produk Veeam
Pada buletin yang sama, Veeam mencantumkan empat kerentanan tingkat keparahan kritis yang memengaruhi Konsol Penyedia Layanan versi 8.1.0.21377 dan sebelumnya dan produk ONE versi 12.1.0.3208 dan yang lebih lama.
Dimulai dengan CVE-2024-42024 (skor CVSS 9.1), penyerang dengan kredensial akun layanan ONE Agent dapat melakukan eksekusi kode jarak jauh pada mesin host.
Veeam ONE juga terkena dampak CVE-2024-42019 (skor CVSS 9.0), yang memungkinkan penyerang mengakses hash NTLM dari akun Reporter Service. Untuk memanfaatkan kelemahan ini, diperlukan pengumpulan data sebelumnya melalui VBR.
Di Konsol Penyedia Layanan Veeam, ada CVE-2024-38650 (skor CVSS 9,9) yang memungkinkan penyerang dengan hak istimewa rendah untuk mengakses hash NTLM dari akun layanan di server VSPC.
Masalah kritis kedua dilacak sebagai CVE-2024-39714 (skor CVSS 9,9) dan memungkinkan pengguna dengan hak istimewa rendah untuk mengunggah berkas sembarangan ke server, yang mengarah ke eksekusi kode jarak jauh.
Semua masalah telah diperbaiki pada Veeam ONE versi 12.2.0.4093 dan Veeam Service Provider Console versi 8.1.0.21377, yang sebaiknya segera diperbarui oleh pengguna.
