Veeam Patches Critical Security Flaw in Recovery Orchestrator (CVE-2024-29855)
2024/06/11 SecurityOnline — Backup/DR (Disaster Recovery) ソリューション・プロバイダーである Veeam は、同社の Recovery Orchestrator (VRO) に存在する、脆弱性 CVE-2024-29855 (CVSS:9.0) に対処した。この脆弱性の悪用に成功した権限のない攻撃者は、 VRO の Web UI (user interface) での管理者権限の取得が可能になり、組織のディザスタ・リカバリ対策に大混乱をもたらす可能性がある。
VRO バージョン 7.0.0.337 で発見された、この脆弱性 CVE-2024-29855 は、VRO の Web UI への管理者アクセスを攻撃者に対して許すものだ。ただし、この脆弱性を悪用する前提としては、アクティブな VRO UI アクセストークンを持つアカウントの、正確なユーザー名とロールを所有している必要がある。
この脆弱性は、Veeam Recovery Orchestrator のバージョン 7.1.0.230/7.0.0.379 で解決されている。
Veeam Recovery Orchestrator のユーザーに強く推奨されるのは、CVE-2024-29855 に関連する潜在的なリスクを軽減するために、これらのバージョンへと直ちにアップデートすることだ。
このアドバイザリは、先月に発行された別のパッチに続くものである。先月に修正された脆弱性 CVE-2024-29849 (CVSS:9.8) は、Veeam Backup Enterprise Manager (VBEM) に影響するものであり、任意のアカウントへのサインインすることを未認証の攻撃者に許す。つまり、認証要件がないため、きわめて深刻な脅威となる。
このところ、Veeam の脆弱性が多い感じがします。つい先日の、2024/06/10 にも「Veeam Backup Enterprise Manager の脆弱性 CVE-2024-29849:PoC エクスプロイトが公開」という記事をポストしたばかりです。よろしければ、Veeam で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.