أصدرت شركة Veeam تحديثات أمنية للعديد من منتجاتها كجزء من نشرة أمنية واحدة لشهر سبتمبر 2024 والتي تعالج 18 عيبًا شديد الخطورة في Veeam Backup & Replication وService Provider Console وOne.
إن أشد المشاكل التي تمت معالجتها هي سي في إي-2024-40711، ثغرة خطيرة (درجة CVSS v3.1: 9.8) لتنفيذ التعليمات البرمجية عن بعد (RCE) على Veeam Backup & Replication (VBR) والتي يمكن استغلالها دون مصادقة.
تُستخدم VBR لإدارة وتأمين البنية الأساسية للنسخ الاحتياطي للمؤسسات، لذا فهي تلعب دورًا بالغ الأهمية في حماية البيانات. ونظرًا لأنها يمكن أن تعمل كنقطة محورية للحركة الجانبية، فهي تعتبر هدفًا عالي القيمة لمشغلي برامج الفدية.
يستهدف مرتكبو برامج الفدية الخدمة لسرقة النسخ الاحتياطية من أجل الابتزاز المزدوج وحذف/تشفير مجموعات النسخ الاحتياطية، بحيث يُترك الضحايا بدون خيارات الاسترداد.
في الماضي، كوبا رانسوموار العصابة و فين7، تم ملاحظة أن مجموعة من المجرمين المعروفين بالتعاون مع Conti وREvil وMaze وEgregor وBlackBasta، كانوا يستهدفون ثغرات VBR.
يؤثر الخلل، الذي تم الإبلاغ عنه عبر HackerOne، على Veeam Backup & Replication 12.1.2.172 وجميع الإصدارات السابقة للفرع 12.
على الرغم من عدم الكشف عن الكثير من التفاصيل في هذا الوقت، فإن عيوب RCE الحرجة تسمح عمومًا بالاستيلاء الكامل على النظام، لذلك لا ينبغي للمستخدمين تأجيل تثبيت الإصلاحات في إصدار VBR 12.2.0.334.
العيوب الأخرى المذكورة في النشرة تتعلق بإصدارات النسخ الاحتياطي والتكرار 12.1.2.172 والإصدارات الأقدم بما يلي:
- سي في إي-2024-40710:سلسلة من الثغرات الأمنية التي تمكن من تنفيذ التعليمات البرمجية عن بعد (RCE) واستخراج البيانات الحساسة (بيانات الاعتماد وكلمات المرور المحفوظة) بواسطة مستخدم ذي امتيازات منخفضة. (درجة CVSS: 8.8 “عالية”)
- سي في إي-2024-40713:يمكن للمستخدمين ذوي الامتيازات المحدودة تغيير إعدادات المصادقة متعددة العوامل (MFA) وتجاوز المصادقة متعددة العوامل. (درجة CVSS: 8.8 “عالية”)
- سي في إي-2024-40714:يسمح التحقق الضعيف من شهادة TLS باعتراض بيانات الاعتماد أثناء عمليات الاستعادة على نفس الشبكة. (درجة CVSS: 8.3 “عالية”)
- سي في إي-2024-39718:يمكن للمستخدمين ذوي الامتيازات المحدودة إزالة الملفات عن بُعد بأذونات تعادل حساب الخدمة. (درجة CVSS: 8.1 “عالية”)
- سي في إي-2024-40712:تسمح ثغرة عبور المسار لمستخدم محلي يتمتع بامتيازات منخفضة بإجراء تصعيد الامتيازات المحلية (LPE). (درجة CVSS: 7.8 “عالية”)
عيوب أكثر خطورة في منتجات Veeam
في نفس النشرة، تسرد Veeam أربع ثغرات أمنية أخرى ذات خطورة حرجة تؤثر على إصدارات Service Provider Console 8.1.0.21377 والإصدارات الأقدم وإصدارات منتجات ONE 12.1.0.3208 والإصدارات الأقدم.
بدءا من سي في إي-2024-42024 (درجة CVSS 9.1)، يمكن للمهاجم الذي لديه بيانات اعتماد حساب خدمة وكيل واحد تنفيذ تعليمات برمجية عن بعد على الجهاز المضيف.
تتأثر شركة Veeam ONE أيضًا بـ سي في إي-2024-42019 (درجة CVSS 9.0)، والتي تسمح للمهاجم بالوصول إلى تجزئة NTLM لحساب Reporter Service. يتطلب استغلال هذا الخلل جمع البيانات مسبقًا من خلال VBR.
في وحدة تحكم مزود خدمة Veeam، هناك سي في إي-2024-38650 (درجة CVSS 9.9) والتي تسمح للمهاجم ذي الامتيازات المنخفضة بالوصول إلى تجزئة NTLM لحساب الخدمة على خادم VSPC.
يتم تتبع المشكلة الحرجة الثانية على النحو التالي سي في إي-2024-39714 (درجة CVSS 9.9) وتمكن المستخدم ذو الامتيازات المنخفضة من تحميل ملفات عشوائية على الخادم، مما يؤدي إلى تنفيذ التعليمات البرمجية عن بعد.
تم إصلاح جميع المشكلات في Veeam ONE الإصدار 12.2.0.4093 وVeeam Service Provider Console الإصدار 8.1.0.21377، والذي ينبغي على المستخدمين الترقية إليه في أقرب وقت ممكن.