Veeam, un proveedor de soluciones de respaldo y recuperación ante desastres, ha abordado recientemente una vulnerabilidad con severidad crítica, identificada como CVE-2024-29855, en su software Recovery Orchestrator (VRO). Esta vulnerabilidad podría permitir a atacantes no autorizados obtener acceso administrativo a la interfaz de usuario web (UI) de VRO, poniendo en riesgo los planes de recuperación ante desastres de las organizaciones.
- CVE-2024-29855 (CVSS 9.0): Esta falla permite a un atacante obtener acceso a la interfaz de usuario web de VRO con privilegios administrativos. Sin embargo, para explotar esta vulnerabilidad, el atacante debe conocer el nombre de usuario exacto y la función de una cuenta con un token de acceso activo a la interfaz de usuario de VRO. Aunque esta condición previa es necesaria, el posible impacto del acceso administrativo no autorizado hace que esta vulnerabilidad sea especialmente preocupante.
Es importante destacar que esta falla no afecta a otros productos de Veeam. La naturaleza aislada de esta vulnerabilidad resalta la importancia de las actualizaciones periódicas y la vigilancia en la gestión del software de recuperación ante desastres.
Producto y versiones afectadas:
- Veeam Recovery Orchestrator (VRO) en versiones anteriores a 7.0.0.337 (inclusive).
Solución:
Actualizar a las versiones más recientes de cada producto afectado para mitigar estas vulnerabilidades. Las versiones corregidas son:
- Veeam Recovery Orchestrator en su versión 7.0.0.379 y 7.1.0.230.
Recomendaciones:
- Actualizar inmediatamente a las versiones parcheadas de Veeam Recovery Orchestrator.
- Implementar controles de acceso robustos y limitar la exposición de las interfaces de usuario web a usuarios autorizados solamente.
- Realizar auditorías de seguridad regulares y monitorear los sistemas para detectar intentos de acceso no autorizado.
Referencias: