Veeam behebt mehrere Sicherheitslücken - Codeschmuggel möglich
Angreifer konnten eigenen zudem Dateien aus der Ferne löschen, die Authentifizierung manipulieren und ihre Privilegien erhöhen. Patches stehen bereit.
(Bild: kubais / Shutterstock.com)
Verschiedene Produkte des Backup-Spezialisten Veeam litten unter teils kritischen Sicherheitslücken, die der Hersteller nun behoben und in seinem monatlichen Sicherheitshinweis veröffentlicht hat. Unter den Fehlern sind auch solche, die Angreifern und Ransomware-Banden den Zugriff auf Backups und Server ermöglichen.
Veeam Backup & Replication
Eine kritische Lücke (CVE-2024-40711, CVSS 9,8) in "Veeam Backup & Replication" erlaubt Angreifern ohne Nutzerkonto aus der Ferne die Ausführung eigenen Codes (Remote Code Execution, RCE). Veeam schweigt sich über Details des Fehlers ebenso wie über die aller anderen Bugs aus und gibt auch keine Einschätzung zu deren aktiver Ausnutzung ab.
Weitere Lücken mit hohem Schweregrad in Backup & Replication erlauben authentifizierten Angreifern die Umgehung der Multi-Faktor-Authentifizierung (CVE-2024-40713, CVSS 8,8) sowie Codeausführung und Informationslecks (CVE-2024-40710, CVSS 8,8), Löschung von Dateien (CVE-2024-39718, CVSS 8,1), das Abfangen von Nutzer-Credentials (CVE-2024-40714, CVSS 8,3) und eine lokale Rechteausweitung (CVE-2024-40712, CVSS 7,8).
Die Sicherheitslücken betreffen alle 12er-Versionen bis einschließlich 12.1.2.172 und sind in Version 12.2.0.334 behoben.
Veeam Agent für Linux
Im Veeam-Linuxclient der Version 6 findet sich ein Fehler, der eine lokale Privilegienausweitung (LPE) gestattet. Die Lücke ist mit der CVE-ID CVE-2024-40709 versehen und hat mit einem CVSS-Punktwert von 7,8 einen hohen Schweregrad. Angreifer, die über ein Nutzerkonto auf dem Zielrechner verfügen, können ihre Rechte zum Systemnutzer "root" ausweiten. Die Lücke ist in der Version 6.2.0.101 des Linux-Agenten behoben.
Veeam ONE
Die Monitoring-Software Veeam One enthält eine "ungeplante Wartungsschnittstelle" – also eine RCE-Lücke – und weitere Fehler. Zwei davon, nämlich der RCE-Bug CVE-2024-42024 (CVSS 9,1) und ein Leck eines lokalen NTLM-Hashes (CVE-2024-42019, CVSS 9,0) sind als kritisch eingestuft.
Weitere Bugs mit hohem Schweregrad in Veeam One erlauben die Ausführung von Code mit Administrator-Rechten (CVE-2024-42023, CVSS 8,8), das Auslesen von Zugangsdaten (CVE-2024-42021, CVSS 7,5), Manipulation von Konfigurationsdateien (CVE-2024-42022, CVSS 7,5) und HTML-Injection (CVE-2024-42020, CVSS 7,3).
Alle Versionen mit der Major-Nummer 12 einschließlich Veeam One 12.1.0.3208 sind betroffen,12.2.0.4093 behebt die Sicherheitslücken.
Veeam Service Provider Console
Auch in der Service Provider Console (VSPC) klaffen Sicherheitsprobleme, davon zwei kritische mit nahezu perfektem CVSS-Wert von 9,9. Bei diesen Lücken handelt es sich um CVE-2024-38650, die den NTLM-Hash des VSPC-Kontos an einen angemeldeten Angreifer verrät und CVE-2024-39714, eine Datei-Upload-Lücke, die Angreifern mit geringen Privilegien erlaubt, über die widerrechtlich hochgeladenen Dateien eigenen Code auszuführen.
Nutzer mit einem VSPC-Konto können zudem beliebige Dateien hochladen oder überschreiben, was zu zwei weiteren RCE-Bugs mit hohem Schweregrad und den CVE-IDs CVE-2024-39715 (CVSS 8,5, Vorbedingung: REST-API-Zugriff) und CVE-2024-38651 (CVSS 8,5) führt.
Die Fehler sind laut Veeams Sicherheitshinweis in Version 8 bis einschließlich 8.1.0.21377 enthalten, in derselben Version jedoch bereits behoben. Den Widerspruch löst Veeam nicht auf – es steht zu vermuten, dass die Aktualisierung die Fehler tatsächlich bereinigt.
Veeam Backup für Nutanix & Co.
Auch in den Backup-Lösungen für Nutanix, Oracle Linux Virtualization Manager und Red Hat Virtualization fanden die Veeam-Sicherheitsexperten bei internen Tests einen Fehler mit hohem Schweregrad, der mittels einer SSRF-Attacke (Server-Side Request Forgery) eine Privilegienerhöhung gestattete. Der Fehler mit CVE-ID CVE-2024-40718 ist in Version 12.5.1.8 des Nutanix AHV-Plugins sowie in Version 12.4.1.45 des Oracle/Red-Hat-Plugins und allen älteren Versionen mit Hauptversionsnummer 12 enthalten. Um ihn auszuräumen, müssen Administratoren ein Update auf Veeam Backup & Replication 12.2 durchführen und somit die Plugins auf v12.6.0.632 (Nutanix) bzw. 12.5.0.299 (Oracle / Red Hat) aktualisieren.
In jedem Fall sollten Administratoren schnell reagieren. Auch wenn Veeam keine Warnun vor Proof-of-Concept-Exploits oder gar einer Ausnutzung durch Cybercrime-Banden veröffentlicht hat, gefährden die Sicherheitslücken die Nutzbarkeit von Sicherungen – was im Fall eines Ransomware-Angriffs zu erheblichen Konsequenzen führen kann.
(cku)
