Sicherheitsupdates: Zwei kritische Lücken bedrohen Monitoringtool Veeam One
Die Entwickler haben in Veeam One unter anderem zwei kritische Schwachstellen geschlossen. Im schlimmsten Fall kann Schadcode auf Systeme gelangen.
(Bild: Artur Szczybylo/Shutterstock.com)
Eigentlich soll die Analyse- und Monitoringlösung Veeam One Systeme überwachen und Schwachstellen frühzeitig erkennen. Aufgrund von vier Sicherheitslücken können Angreifer Systeme nun aber attackieren. Aktualisierte Versionen schützen vor möglichen Attacken.
Die Sicherheitslücken
Wie die Entwickler in einem Beitrag beschreiben, können Angreifer unter anderem an zwei als "kritisch" eingestuften Sicherheitslücken (CVE-2023-38547, CVE-2023-38548) ansetzen. Sind Attacken erfolgreich, kann es ohne Authentifizierung aus der Ferne zu Schadcode-Attacken auf den SQL-Server kommen.
Im zweiten Fall sind unbefugte Zugriffe auf den NTLM-Hash des Accounts des Veam One Reporting Services möglich. Hierfür muss ein Angreifer aber Zugriff auf den Web Client haben.
Die beiden verbleibenden Schwachstellen (CVE-2023-38549, CVE-2023-41723) sind mit dem Bedrohungsgrad "mittel" eingestuft. In beiden Fällen sind bestimmte Authentifizierungen notwendig. Hier können Angreifer für XSS-Attacken ansetzen oder ausschließlich lesend auf das Dashboard Schedule zugreifen.
Die Sicherheitsupdates
Die Entwickler geben an, die Sicherheitsprobleme in den folgenden Hotfixes Veam One 11 (11.0.0.1379), 11a (11.0.1.1880) und 12 P20230314 (12.0.1.2591) gelöst zu haben. Der Hotfix ist den Entwicklern zufolge mit Veam One 12.0.0.2498 nicht kompatibel. Hier ist vorher ein Update auf 12.0.1.2591 notwendig.
Für die Installation müssen Admins die Services Monitoring und Reporting stoppen und die existierenden Dateien unter C:\Program Files\Veeam\Veeam ONE\Veeam ONE Reporter Server\ mit den Dateien aus dem Hotfix ersetzen.
(des)
