Jetzt patchen! Veeam Backup Enterprise Manager vor Attacken gefährdet
Weil mittlerweile Exploitcode für eine kritische Lücke in Veeam Backup Enterprise Manager in Umlauf ist, können Attacken bevorstehen.
Admins, die Backup-Instanzen in Unternehmen mithilfe von Veeam Backup Enterprise Manager verwalten, sollten die Anwendung zügig auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer an einer Schwachstelle ansetzen und sich ohne Anmeldung am Web-Interface als beliebiger Nutzer authentifizieren.
Die Lücke (CVE-2024-29849) ist als "kritisch" eingestuft. Sie ist seit Ende Mai 2024 bekannt. Die Entwickler geben an, die Schwachstelle in der Version 12.1.2.172 geschlossen zu haben. In dieser Ausgabe wurden darüber hinaus noch vier weitere Sicherheitslücken geschlossen. Setzen Angreifer daran mit Erfolg an, können sie unter anderem bestehende Accounts übernehmen oder unbefugt auf Backup-Logs zugreifen.
Vorsicht vor Attacken
Nun ist Exploitcode von einem Sicherheitsforscher in Umlauf, den Cyberkriminelle missbrauchen können. Ihm zufolge steckt die Lücke im Service Veeam.Backup.Enterprise.RestAPIService.exe. Der Service dient als REST API für die Haupt-Webanwendung und lauscht auf dem TCP-Port 9398. Um eine Attacke einzuleiten, müssen Angreifer über das API einen präparierten VMware Single-Sign-On-Token (SSO) an den verwundbaren Service senden.
Weil Veeam den Token nicht verifiziert, können sie sich als Admin ausgeben. Weitere Details zur Attacke führt der Sicherheitsforscher in seinem ausführlichen Bericht auf. Dort steht auch im Detail, wie ein Angriff ablaufen kann.
Jetzt patchen!
Bislang gibt es aber keine Berichte über laufende Attacken. Da sich das aber jederzeit ändern kann, sollten Admins umgehend handeln und die abgesicherte Version von Veeam Backup Enterprise Manager installieren.
(des)