Veeam fixes RCE flaw in backup management platform (CVE-2024-29212)
2024/05/08 HelpNetSecurity — Veeam が顧客に対して強く促し始めたのは、Veeam Service Provider Console (VSPC) に存在する深刻度の高い脆弱性 CVE-2024-29212 へのパッチの適用である。Veeam Service Provider Console は、ユーザー企業だけではなく MSP (Managed Services Providers) などが、データ・バックアップ・オペレーションを管理/監視するために使用するクラウド・プラットフォームである。
CVE-2024-29212 について
Veeam は、「Veeam Service Provider Console を導入するサービス・プロバイダーは、Backup-as-a-Service および Disaster Recovery-as-a-Service を顧客に提供できる。このソリューションを用いる企業は、リモートオフィス/支店などにおいても、バックアップ操作を合理化できる」と説明している。
脆弱性 CVE-2024-29212 は、管理エージェントとコンポーネントの間での通信中に、Veeam Service Provider Console サーバにより使用される、安全が確保されないデシリアライズ方法に起因する。この脆弱性は、VSPC バージョン 4.0/5.0/6.0/7.0/8.0 に影響を及ぼす。
この脆弱性が特定の条件下で悪用されると、VSPC がインストールされたサーバ・マシン上で、攻撃者によるリモートコード実行の可能性が生じる。それにより攻撃者は、バックアップやディザスタ・リカバリのプロセスを中断させることが可能となる。
2023年3月にもサイバー犯罪者たちは、Veeam Backup & Replication の脆弱性 CVE-2023-27532 を悪用ししていた。
対応策は?
今回の脆弱性 CVE-2024-29212 は、幸いなことに Veeam 社内で発見され、また、積極的な悪用は観測されていない。
同社は、「Veeam Service Provider Console の現行バージョン 7.0/8.0 を使用しているサービス・プロバイダーには、最新の累積パッチへとアップデートすることが推奨される。サポート切れのバージョン 4.0/5.0/6.0 を使用しているサービス・プロバイダーには、最新バージョンへのアップグレードが強く推奨される」と述べている。
この脆弱性は、他の Veeam 製品には影響しない。
インターネット研究者のための検索エンジンである Hunter.how は、インターネットに露出する 1,600 を超える VSPC のセットアップを検出しており、その大半が米国に存在すると指摘している。
貴重なデータを保護するための、最後の砦であるバックアップは、他の何よりも優先して守られるべきソフトウェアなのかもしれません。Veeam の VSPC は、ユーザー企業だけではなく MSP なども依存する製品とのことです。ご利用のチームは、速やかなアップデートを、ご検討ください。よろしければ、Veeam で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.