Descripció
Veeam ha publicat al seu butlletí mensual una recopilació de les vulnerabilitats produïdes en alguns dels seus productes i que han estat corregides en les darreres versions d'actualitzacions.
Entre les vulnerabilitats descrites a l'informe destaquen cinc per la seva severitat crítica.
Tres estan relacionades amb l'execució remota de codi a través d'un atacant no autenticat, que podria permetre introduir codi maliciós als dispositius vulnerables, en alguns dels casos des d'usuaris amb permisos limitats. Les altres dues vulnerabilitats crítiques fan referència a la captura de l'hash NTLM del compte de servei, podent realitzar atacs Pass The Hash.
Pass The Hash és una tècnica utilitzada per atacants per autenticar en un sistema sense necessitat de conèixer la contrasenya en text clar. En lloc de desxifrar la contrasenya, l'atacant captura el hash de la contrasenya i el reutilitza per accedir a sistemes que utilitzen mecanismes de autenticació basats en hashes, com molts sistemes Windows.
Recursos afectats
- Veeam Backup & Recopilation, versió 12.1.2.172 i compilacions de la versió 12 i anteriors.
- Veeam ONE, versió 12.1.0.3208 i compilacions de la versió 12 i anteriors.
- Veeam Service Privider Console, versió 8.1.0.213177 i compilacions de la versió 8 i anteriors.
- Veeam Agent per a Linux, versió 6.1.2.1781 i anteriors a la versió 6.
- Veeam Backup per a Nutaix AHV, versió 12.5.1.8 i anteriors a la versió 12.
- Veeam Backup per a Oracle Linux Virtualization Manger i Red Hat Virtualization, versió 12.4.1.45 i anteriors a la versió 12.
Solució
Es recomana als usuaris d'aquests productes que actualitzin el programari per a més protecció:
- Veeam Backup &Recopilation: Veeam Backup & Replication 12.2 (versió 12.2.0.334).
- Veeam ONE: Veeam ONE v12.2 (compilació 12.2.0.4093).
- Veeam Service Privider Console: Consola del proveïdor de serveis de Veeam v8.1 (compilació 8.1.0.21377).
- Veeam Agent per a Linux Veeam Agent per a Linux 6.2 (compilació 6.2.0.101): inclòs amb Veeam Backup & Replication 12.2.
- Veeam Backup per a Nutaix AHV Complement Veeam Backup per a Nutanix AHV v12.6.0.632: inclòs amb Veeam Backup & Replication 12.2.
- Veeam Backup per a Oracle Linux Virtualization Manger i Red Hat Virtualization Veeam Backup per a Oracle Linux Virtualization Manager i complement de virtualització de Red Hat v12.5.0.299: inclòs amb Veeam Backup & Replication 12.2.