Veeam, una plataforma reconocida por su capacidad para gestionar la protección de datos en entornos virtuales y en la nube, ha identificado múltiples vulnerabilidades críticas en Veeam Service Provider Console y Veeam ONE. Estos fallos podrían comprometer gravemente la seguridad de los datos y los sistemas de las organizaciones que utilizan estos productos.
Detalles de las Vulnerabilidades
- CVE-2024-38650 (CVSS 9.9): Esta vulnerabilidad permite que atacantes con pocos privilegios accedan al hash NTLM de la cuenta de servicio en el servidor de Veeam Service Provider Console, facilitando el movimiento lateral en la red y comprometiendo aún más el sistema.
- CVE-2024-39714 (CVSS 9.9): Un fallo que permite a usuarios de bajo nivel subir archivos arbitrarios al servidor, lo que puede resultar en la ejecución remota de código, otorgando a los atacantes control total sobre el sistema.
- CVE-2024-39715 (CVSS 8.5): Usuarios con acceso a la API REST de Veeam pueden subir archivos maliciosos de forma remota, lo que también conduce a la ejecución de código remoto.
- CVE-2024-38651 (CVSS 8.5): Esta vulnerabilidad permite a usuarios de bajo nivel sobrescribir archivos en el servidor de Veeam Service Provider Console, lo que facilita la ejecución de código remoto.
- CVE-2024-42024 (CVSS 9.1): En Veeam ONE, un atacante con acceso a las credenciales del servicio de Veeam ONE Agent podría ejecutar código arbitrario, comprometiendo el control total del sistema.
- CVE-2024-42019 (CVSS 9.0): Exposición del hash NTLM de la cuenta de servicio de Veeam Reporter Service, lo que permite ataques del tipo “pass the hash”.
- CVE-2024-42023 (CVSS 8.8): Vulnerabilidad que permite la ejecución de código con privilegios administrativos por parte de usuarios con bajos privilegios.
- CVE-2024-42021 (CVSS 7.5): Atacantes con tokens de acceso válidos pueden acceder a credenciales guardadas, lo que facilita el acceso no autorizado a información confidencial.
- CVE-2024-42022 (CVSS 7.5): Permite a atacantes modificar archivos de configuración, lo que puede derivar en interrupciones del servicio o configuraciones incorrectas.
- CVE-2024-42020 (CVSS 7.3): Inyección de HTML en Reporter Widgets, lo que puede facilitar ataques de scripting o acciones maliciosas.
Productos y Versiones Afectadas
- Veeam Service Provider Console versiones anteriores a la 8.1 (compilación 8.1.0.21377).
- Veeam ONE versiones anteriores a la v12.2 (compilación 12.2.0.4093).
Solución
Se recomienda actualizar de inmediato a las versiones que corrigen estas vulnerabilidades:
- Veeam Service Provider Console: Actualizar a la versión 8.1 (build 8.1.0.21377) o superior.
- Veeam ONE: Actualizar a la versión v12.2 (build 12.2.0.4093) o superior.
Recomendaciones
- Aplicar los parches proporcionados por Veeam lo antes posible.
- Verificar la integridad del sistema y de los archivos después de la actualización.
- Revisar y fortalecer los permisos de acceso y las credenciales de servicio para mitigar futuros riesgos.
Referencias
- https://securityonline.info/critical-flaws-in-veeam-one-expose-systems-to-rce-cve-2024-42024-and-credential-theft-cve-2024-42019/
- https://securityonline.info/cve-2024-38650-cve-2024-39714-cvss-9-9-critical-flaws-in-veeam-console-put-data-at-risk/
- https://www.veeam.com/kb4649
- https://www.veeam.com/kb4357
- https://www.veeam.com/kb4464