Veeam Backup & Replication Vulnerabilities Exposed: High-Severity Flaws Put Data at Risk
2024/12/04 SecurityOnline — Veeam がリリースしたセキュリティ・アップデートは、Veeam Backup & Replication および Agent for Microsoft Windows に存在する、複数の脆弱性に対処するためのものだ。このバックアップ/リカバリ/データ管理ソリューションにおける、一連の脆弱性を悪用する認証済みの攻撃者に対して、悪意のコード実行/機密情報への不正アクセス/接続システムの整合性侵害などが、許されてしまう可能性があるという。
今回のアップデートで修正された脆弱性のうち、最も深刻なものは、CVE-2024-40717 (CVSS v3.1:8.8) である。この脆弱性の悪用に成功した攻撃者は、特権を昇格させ、任意のコード実行を達成し、システム全体の完全な侵害の可能性を手にする。
その他にも、以下の脆弱性が修正された:
- CVE-2024-42451:ヒューマン・リーダブルな形式で保存された、認証情報へのアクセスを許す。
- CVE-2024-42452:権限昇格により、接続された ESXi ホストへのリモート・ファイル・アップロードを、不正に許可してしまう。
- CVE-2024-42453:接続された仮想インフラ・ホストの制御/変更を可能にする。
- CVE-2024-42455:安全が確保されないデシリアライゼーションを容易にし、ファイル削除を引き起こす可能性がある。
- CVE-2024-42456:特権メソッドへのアクセスと、重要サービスへの制御を許す。
- CVE-2024-42457:リモート管理インターフェイスを介して保存された認証情報を、誤って公開する。
- CVE-2024-45204:認証情報の処理における不十分な権限に起因するものであり、NTLM ハッシュの漏洩につながる可能性がある。
今回のアップデートでは、Veeam Agent for Microsoft Windows の脆弱性 CVE-2024-45207 も修正されている。この脆弱性の悪用に成功した未認証の攻撃者は、書き込み可能なディレクトリが PATH 環境変数に追加されている場合において、DLL インジェクションを引き起こす可能を手にする。Windows のデフォルトの PATH には、このようなディレクトリは含まれていない。ただし、不適切にコンフィグされた環境は、大きなリスクを抱え込むことになる。
これらの脆弱性は、Veeam Backup & Replication 12.3 (build 12.3.0.310) および Veeam Agent for Microsoft Windows 6.3 (build 6.3.0.177) で修正されている。すべてのユーザーに対して Veeam が推奨するのは、この最新バージョンへと、速やかにアップグレードすることだ。さらに、同社が一時的な緩和策として推奨するのは、バックアップ・サーバーの [Users and Roles] 設定で、信頼されていないユーザー/不要なユーザーを、削除することである。
Veeam Backup & Replication および Agent for Microsoft Windows のユーザー組織に強く推奨されるのは、ただちに適切な措置を講じ、重要なデータとインフラを保護することだ。
Veeam VBR/Agent に複数の脆弱性です。すでにアップデートが提供されていますので、ご利用のチームは、ご確認ください。Veeam に関しては、この記事と同日の 2024/12/04 に、「Veeam SPC の脆弱性 CVE-2024-42448/42448 が FIX:RCE や NTLM ハッシュ漏洩の恐れ」がポストされています。よろしければ、Veeam で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.