CVE-2024-40715: Authentication Bypass Threat in Veeam Backup Enterprise Manager
2024/11/07 SecurityOnline — 先日に Veeam が公表したのは、Backup Enterprise Manager に影響を及ぼす、新たなセキュリティ脆弱性 CVE-2024-40715 (CVSS:7.7) に関する情報である。この脆弱性は、深刻度 High と分類されている。主に中間者 (MITM) 攻撃に対して脆弱であり、Veeam Backup Enterprise Manager ユーザーに影響を与える可能性が生じている。
この脆弱性により MITM 攻撃を達成する攻撃者は、認証を回避することが可能となり、データ・セキュリティにおいて Veeam のバックアップ・ソリューションを利用する組織にとって、深刻な影響が生じるという。
Veeam のアドバイザリには、「Veeam Backup Enterprise Manager に存在する、脆弱性 CVE-2024-40715 の悪用に成功した攻撃者は、認証を回避しながら、MITM (Man-in-the-Middle) 攻撃を実行できる。それにより攻撃者は、データ転送の傍受/変更/停止を達成し、重要なビジネス・データに対する不正アクセスの可能性を手にする」と記されている。
この脆弱性 CVE-2024-40715 を発見し、Hacker One を通じて開示したのは、ZDI の研究者たちである。
すでに Veeam は、2024年11月6日にリリースされた Veeam Backup Enterprise Manager バージョン 12.2.0.334 の hotfix で、この脆弱性に対処している。Veeam Backup Enterprise Manager のバージョン 12.1.2.172 以前を使用しているユーザーに対して強く推奨されるのは、重要な修正が含まれているバージョン 12.2.0.334 へと、ただちにアップグレードすることである。
Veeam Backup Enterprise Manager 12.2.0.334 をインストールする際には、前述の hotfix をダウンロードすることになる。このアドバイザリには、「hotfix のインストール後に、再起動が必要になる場合がある」と記載されている。
今回のアップデートは hotfix であるため、ソフトウェアのビルド番号は変更されない。パッチが確実に適用されていることを確認するために、Veeam が提供するのは、管理者による修正の検証方法である。Veeam はアドバイザリには、「hotfix が展開されたことを検証するには、システム上のファイルのハッシュ値をチェックし、それを hotfix に含まれるファイルの既知のハッシュ値と比較する必要がある」と記されている。
管理者は、以下の PowerShell コマンドを使用して、パッチを適用した DLL ファイルの SHA1 ハッシュをチェックできる。
Get-FileHash -Path 'C:\Program Files\Veeam\Backup and Replication\Enterprise Manager\Veeam.Backup.Enterprise.Core.dll' -Algorithm SHA1
このファイル・ハッシュは、hotfix の公開された SHA1 ハッシュと一致する必要がある。”FDC176FCE4825023F14462A51541C1DF591B28AC” と一致するハッシュが示すのは、修正が正しく適用されたことであり、それにより、MITM 攻撃による不正アクセスのリスクは低減される。
このところ、Veeam の脆弱性が多いと思って確認してみたら、10月に2件ありました。ご利用のチームは、ご注意ください。よろしければ、Veeam で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.