Rechtausweitung durch Lücken in Veeam Recovery Orchestrator möglich

Vor zwei Sicherheitslücken in Recovery Orchestrator warnt Hersteller Veeam. Angreifer können durch beide ihre Rechte am System ausweiten. Eine davon schrammt nur ganz knapp an einer Risikoeinstufung als kritisch vorbei.

Wie Veeam in einer Sicherheitsmitteilung vom Dienstag dieser Woche schreibt, können bösartige Akteure mit einer Rolle mit niedrigen Zugriffsrechten etwa auf den NTLM-Hash des Dienstkontos zugreifen, mit dem der Veeam-Orchestrator-Dienst läuft (CVE-2024-22022, CVSS 8.8, Risiko "hoch"). Dadurch können sie mit den üblicherweise sehr weiten Rechten des Recovery-Orchestrator-Dienstes auf den Rechner und gegebenenfalls weiterer Maschinen zugreifen.

Veeam: zwei Schwachstellen gefixt

Die zweite Schwachstelle erlaubt Nutzerinnen und Nutzern mit einer Rolle mit niedrigen Zugriffsrechten, auf Pläne von Nutzern mit anderen Zugriffsrechten, sogenannte Scopes, zuzugreifen (CVE-2024-22021, CVSS 4.5, mittel). Das Risiko ist den Veeam-Entwicklern zufolge deutlich geringer.

Die Schwachstellen betreffen Veeam Recovery Orchestrator 6, Veeam Disaster Recovery Orchestrator 5 und Veeam Availability Orchestrator 4. Version 7 des Recovery Orchestrator enhtält die Sicherheitslücken Veeam zufolge nicht. Das ist auch der bevorzugte Upgrade-Pfad, den das Unternehmen vorschlägt. Es bietet jedoch auch Patches für 6er-Versionen der Software an. Sie bringen die auf den Stand 6.0.0.3516. IT-Verantwortliche sollten nicht zögern, die Updates herunterzuladen und anzuwenden.

Im November hatte Veeam mit zwei kritischen Sicherheitslücken in der Monitoring-Software Veeam One zu kämpfen. Sie erlaubte Angreifern das Einschleusen von Schadcode. Software von Veeam steht auch bei Online-Kriminellen als Angriffsziel im Fokus. Mitte vergangenen Jahres hatte die CISA vor Angriffen in freier Wildbahn auf eine Veeam-Backup-Schwachstelle gewarnt.

(dmk)