Veeam Issues Patch for Critical RCE Vulnerability in Service Provider Console
2024/12/04 — Veeam Service Provider Console (VSPC) の脆弱性に対処する、セキュリティ・アップデートがリリースされた。Veeam によると、社内テスト中に発見された、脆弱性 CVE-2024-42448 (CVSS:9.9) が悪用されると、影響を受けるインスタンス上で、RCE 攻撃が引き起こされる可能性があるという。
同社は、「対象となる VSPC 管理エージェントが、サーバ上で認証されているという状況において、その VSPC サーバ・マシン上でのリモートコード実行 (RCE:Remote Code Execution) が可能となる」と説明している。
2つ目の脆弱性 CVE-2024-42449 (CVSS:7.1) が悪用されると、VSPC アカウントにおける NTLM ハッシュの漏洩と、VSPC サーバ・マシン上でのファイル削除が生じる可能性がある。
これらの脆弱性は、いずれも Veeam Service Provider Console のバージョン 8.1.0.21377 以下と、ビルド 7/8 以下に影響を及ぼす。すでに Veeam は、バージョン 8.1.0.21999 をリリースし、この問題を修正している。
現時点において、これらの脆弱性に対する緩和策は存在しない。したがって、最新バージョンへとアップグレードすることが唯一の解決策だと、Veeam は述べている。
Veeam の Service Provider Console に、深刻な脆弱性とのことです。すでにアップデートが提供されていますので、ご利用のチームは、ご確認ください。なお、関連するポストは 2024/05/08 の「Veeam VSPC の深刻な脆弱性 CVE-2024-29212 が FIX:ただちにパッチを!」となっています。よろしければ、Veeam で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.