Af Eskil Sørensen, 15/03/22
Veeam har udsendt opdateringer til kritiske sårbarheder i en backup-løsning, der anvendes til virtuelle miljøer. Det skriver Security Week.
Applikationen leverer sikkerhedskopiering og -gendannelsesfunktioner til virtuelle maskiner, der kører på Hyper-V, vSphere og Nutanix AHV, såvel som til servere og arbejdsstationer og til skybaserede arbejdsbelastninger.
De to sårbarhederne har id’erne CVE-2022-26500 og CVE-2022-26501, og med en CVSS-score på 9,8 er de i den kritiske ende af skalaen. De to sikkerhedshuller kan da også udnyttes til at afvikle kode eksternt uden godkendelse.
Eliminering og afbødning mulig
Selve fejlene er identificeret i Veeam Distribution Service, der som standard bruger TCP-port 9380 og giver selv uautoriserede brugere adgang til interne API-funktioner. Det betyder, at eksterne angribere kan sende input til den interne API, hvilket giver dem mulighed for at uploade og afvikle ondsindet kode uden godkendelse.
Security Week skriver med henvisning til Veeams meddelelse om sagen, at de påvirkede versioner er Veeam Backup & Replication version 9.5, 10 og 11. Men da der kun er udgivet til rettelser til version 10 og 11, tilrådes brugere af version 9.5 at migrere til en understøttet version.
Virksomheden forklarer, at patches skal installeres på Veeam Backup & Replication-serveren, og at de servere, der administreres med Veeam Distribution Service, automatisk vil modtage patchen.
Hvis patchning ikke er mulig, anbefales det, at systemadministratorer deaktiverer Veeam Distribution Service.
Der er ikke rapporter om aktuel udnyttelse.
Links:
https://www.securityweek.com/critical-vulnerabilities-patched-veeam-data-backup-solution