Veeam fixes bug that lets hackers breach backup infrastructure
2023/03/08 BleepingComputer — Veeam の Backup & Replication に深刻な影響を及ぼす脆弱性が発見されたことで、同社はパッチの適用を急ぐよう顧客に促している。この脆弱性 CVE-2023-27532 は、Shanigen としいう名のセキュリティ研究者が、2月中旬に報告したものであり、すべての Veeam Backup & Replication (VBR) バージョンに影響を与えるものだ。この脆弱性の悪用に成功した未認証の攻撃者は、VeeamVBR のコンフィグ・データベースに保存されている暗号化された認証情報を取得した後に、このバックアップ・インフラ・ホストにアクセスできるようになる。
Veeam のアドバイザリによると、この脆弱性の根本的な原因は、未認証ユーザーであっても暗号化された認証情報を要求できる、Veeam.Backup.Service.exe (デフォルトでは TCP 9401で実行) にあるという。
火曜日に顧客に送信した電子メールで同社は、「この脆弱性を軽減するための V11 と V12 用のパッチを開発しので、直ちにインストールすることを推奨する。あなたが、Veeam 環境の現在の管理者ではない場合には、このメールを適切な人に転送してほしい」と述べている。
すでに、この脆弱性に対応したセキュリティ・アップデートが、VBR V11/V12 向けにリリースされている。したがって、古いリリースを使用している顧客は、この2つのサポート対象製品にアップデートすることが推奨される。
回避策も用意されている
また、Veeam は、今週に適用された CVE-2023-27532 対応のパッチについて、直ちに導入できない顧客のために、一時的な修正プログラムを提供している。
この攻撃ベクターをブロックし、悪用の試みから脆弱なサーバを保護するために、バックアップ・サーバのファイアウォールを用いて、ポート TCP 9401 への外部接続をブロックすることも可能だという。しかし、この回避策はマウント・サーバからの VBR サーバへの接続にも影響するため、非分散型の Veeam 環境でのみ使用できるという点に注意が必要だ。
Veeam は、「脆弱性が公開されると、攻撃者はパッチをリバースエンジニアリングして脆弱性を理解し、パッチが未適用のソフトウェア上で脆弱性を悪用する。つまり、すべてのシステムで最新バージョンを使用し、パッチがタイムリーにインストールすることが重要になる」と指摘している。
Veeam は、同社の Backup/Disaster Recovery/Data Protection ソフトウェアは、Fortune 500 企業の 82% および、Global 2000 企業の 72% を含む、世界中の 45,000社以上の顧客により使用されていると述べている。
まず、Veeam のシェアが大きいことに驚きました。そして、2022/10/24 の「Veeam の深刻な RCE 脆弱性 CVE-2022-26501/CVE-2022-26504 が FIX」に記されている脆弱性 CVE-2022-26501 は、CISA の KEV カタログにも追加されているので、米連邦政府内でも使われているのでしょう。今回の脆弱性 CVE-2023-27532 による、影響の範囲が気になります。
よろしければ、以下の記事も、ご参照ください。
2023/04/26:Veeam :ロシアの FIN7 サイバー犯罪組織が狙っている
2023/03/23:Veeam の脆弱性 CVE-2023-27532:PoC エクスプロイト
IoT OT Security News 
You must be logged in to post a comment.