Przed kilkoma dniami ujawniono dwie bardzo poważne luki bezpieczeństwa we flagowych rozwiązaniach Veeam Software - Veeam Backup & Replication i Veeam Agent. Nowe podatności na atak w różnych rozwiązaniach są wykrywane niemal codziennie i nie są niczym niezwykłym. Problem pojawia się wówczas gdy chodzi o popularny sprzęt czy rozwiązanie, tak jak w tym wypadku. Na szczęście producent błyskawicznie udostępnił stosowne poprawki, zatem ich wdrożenie powinno stanowić priorytet dla każdego administratora pracującego z rozwiązaniami Veeam.
Przyjrzyjmy się bliżej lukom w zabezpieczeniach Veeam Backup & Replication (dotyczą wersji 9.5, 10 i 11), problemom z nimi związanymi i eliminacją zagrożenia.
Luki oznaczone jako (CVE-2022-26500, CVE-2022-26501) posiadają ocenę CVSS (Common Vulnerability Scoring System) 9,8 co klasyfikuje je jako krytyczne. Podatności umożliwiają zdalne wykonywanie złośliwego kodu bez uwierzytelniania, w efekcie czego doprowadzić do przejęcia kontroli nad systemem docelowym. Luka obejmująca usługę Veeam Distribution Service, domyślnie działającą w protokole TCP na porcie 9380, umożliwia nieuwierzytelnionym użytkownikom dostęp do wewnętrznych funkcji interfejsu API Veeam. Atakujący może przesłać dane wejściowe do interfejsu API, który może umożliwić przesyłanie i wykonywanie złośliwego kodu.
Kolejna wykryta luka oznaczona jako (CVE-2022-26504) dotyczy komponentu Veeam Backup & Replication integrującym rozwiązanie z Microsoft System Center Virtual Machine Manager (SCVMM), umożliwia użytkownikom domeny zdalne wykonanie złośliwego kodu, a w rezultacie doprowadzić do przejęcia kontroli nad systemem docelowym. Podatny na lukę proces Veeam.Backup.PSManager.exe (domyślnie działający na porcie 8732 protokołu TCP) umożliwia uwierzytelnianie przy użyciu nieadministracyjnych poświadczeń domeny.
Firma Veeam wydała już patche dla wersji 11a i 10a eliminujące powyższe luki. Poprawki zaimplementowano w kompilacjach:
- Veeam Backup & Replication 11a - Build 11.0.1.1261 P20220302
- Veeam Backup & Replication 10a - Build 10.0.1.4854 P20220304
Poprawkę wystarczy zaimplementować na serwerze VBR. Wszystkie powiązane z nim serwery z komponentami Veeam zostaną automatycznie zaktualizowane po zainstalowaniu poprawki.
Jeśli planujesz wdrożenie Veeam Backup & Replication 11 lub 10, upewnij się, że korzystasz z obrazów ISO już zaktualizowanych. Należą do nich obrazy ISO datowane na 20220302 lub nowsze.
Nie zanosi się na to by pojawiła się aktualizacja do niewspieranego Veeam Backup & Replication 9.5. Rozwiązanie pojawiło się na rynku w grudniu 2016 roku a w styczniu br. producent zakończył świadczenie wsparcia dla tej, już leciwej wersji. Zaleca się zatem aktualizację do v11, która będzie wspierana przez najbliższe dwa lata, do lutego 2024.
Luka oznaczona jako (CVE-2022-26503) dotyczy Agenta dla Windows. Osoba atakująca, której uda się wykorzystać tę lukę, może uruchomić dowolny kod z uprawnieniami LOCAL SYSTEM. Posiada ona wysoki wynik w skali podatności oznaczony jako CVSS 7,8.
W środowisku zarządzanym przez Veeam Backup & Replication, po zainstalowaniu zbiorczych poprawek dla Veeam Backup & Replication można uaktualnić Veeam Agent z poziomu konsoli Veeam Backup & Replication. W wypadku autonomicznej wersji Veeam Agent for Microsoft Windows (niezarządzanej przez narzędzie Veeam Backup & Replication), wersję z poprawkami należy zainstalować ręcznie na każdym komputerze z Veeam Agent.
Wersje Veeam Agent for Windows eliminujące wykrytą lukę oznaczone są jako v5 (Build 5.0.3.4708) oraz v4 (Build 4.0.2.2208).
Zaleca się jak najszybszą aktualizację powyższych narzędzi.