CVE-2024-38650 & CVE-2024-39714 (CVSS 9.9): Critical Flaws in Veeam Console Put Data at Risk
2024/09/05 SecurityOnline — クラウド/仮想環境でデータ保護サービスの管理の使用されている Veeam Service Provider Console (VSPC) に、一連の深刻な脆弱性が発見された。それらの脆弱性の中には、CVSS 値 9.9 という高いスコアを持つものもあり、悪用に成功した攻撃者により、不正アクセスや悪意のコード実行が引き起こされ、機密データの侵害へといたる可能性が生じている。
主要な脆弱性と影響について
CVE-2024-38650 (CVSS 9.9):低権限の攻撃者であっても、Veeam Service Provider Console サーバ上のサービス・アカウントの、NTLM ハッシュへのアクセスが可能にある脆弱性であり、横方向の移動とシステム侵害へとつながる恐れがある。
CVE-2024-39714 (CVSS 9.9):この脆弱性の悪用に成功した低権限のユーザーによる、サーバへの任意のファイルのアップロードが可能となり、最終的にはリモート・コード実行や、完全な制御の奪取へといたる恐れがある。
CVE-2024-39715 (CVSS 8.5):上記の脆弱性と同様に、この脆弱性の悪用に成功した、REST API アクセス権を持つ低権限のユーザーが、任意のファイルをリモートでアップロードできるようになり、リモート・コード実行へとつながる。
CVE-2024-38651 (CVSS 8.5):この脆弱性の悪用に成功した低権限のユーザーによる、Veeam Service Provider Console サーバ上でのファイルの上書が引き起こされ、リモート・コード実行が容易になる。
Backup-as-a-Service および災害復旧オペレーションへの影響
VSPC を用いることで、BaaS/DRaaS を提供しているサービス・プロバイダーにとって、これらの脆弱性は深刻な脅威となる。想定される被害としては、リモート・コード実行/NTLM ハッシュ窃取などがあり。バックアップの整合性が損なわれ、顧客の機密データの漏洩や、災害復旧プロセスの中断が引き起こされる可能性が生じる。
この VSPC サーバへの不正なアクセスに成功して攻撃者は、バックアップの操作/復旧プロセスの無効化/ランサムウェアの展開などを引き起こす可能性を手にする。
緊急対応
これらの脆弱性の深刻さと、広範囲に悪用される可能性を考えると、早急な対応が不可欠となる。Veeam Service Provider Console を使用している組織に対して、強く推奨されるのは、遅滞なくバージョン 8.1 (ビルド 8.1.0.21377) 以降へとアップデートすることだ。
Veeam Service Provider Console (VSPC) について調べてみたら、「サービス・プロバイダーが必要とするセンタライズのためのプラットフォームであり、Veeam を活用するバックアップ・ビジネスを効率的に拡張する。さらに、新規クライアントのオンボードの効率化や、技術リソースを最適化のために、柔軟性の高い自動化の機能を提供する」と紹介されていました。したがって、一般的なユーザー組織にとっては関係のない話かもしれませんが、サードパーティに存在する可能性にある脆弱性の情報だと、捉えることも必要かもしれません。よろしければ、2024/05/08 の「Veeam Backup Enterprise Manager の4件の脆弱性が FIX:直ちにアップデートを!」と、Veeam で検索を ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.