Veeam Service Provider Console: Kritische Lücke gefährdet Kunden-Backups
Veeams Backend-as-a-Service- und Disaster-Recovery-as-a-Service-Plattform Service Provider Console ist verwundbar.
(Bild: Artur Szczybylo/Shutterstock.com)
Mit Veeam Service Provider Console (VSPC) können Admins unter anderem die Integrität von Kunden-Backups prüfen. Doch zwei Sicherheitslücken gefährden die Software. Nun haben die Entwickler eine reparierte Version veröffentlicht.
Systeme kompromittierbar
In einer Warnmeldung steht, dass Angreifer in beiden Fällen über eine Authentifizierung für den Zugriff auf den Managementagenten verfügen müssen. Ist diese Voraussetzung erfüllt, können sie Schadcode ausführen (CVE-2024-42448 "kritisch") oder auf NTLM-Hashes zugreifen (CVE-2024-42449 "hoch").
Diese Sicherheitsprobleme haben die Entwickler eigenen Angaben zufolge in der VSPC-Ausgabe 8.1.0.21999 gelöst. Alle vorigen Ausgaben des 8er- und 7er-Versionstrang seien bedroht. Veeam gibt an, dass davon auch Versionen betroffen sein können, die sich nicht mehr im Support befinden. Das haben sie aber nicht getestet. Der Softwarehersteller legt aus Sicherheitsgründen ein Upgrade nahe.
Anfang November dieses Jahres warnte Veeam vor Sicherheitslücken in Backup Enterprise Manager.
(des)
