Veeam Software heeft de uitgave van beveiligingsupdates aangekondigd om twee kritieke kwetsbaarheden in hun Service Provider Console (VSPC) aan te pakken, een platform ontworpen voor het beheren van Backup as a Service (BaaS) en Disaster Recovery as a Service (DRaaS)-diensten. Deze fouten, geïdentificeerd als CVE-2024-42448 en CVE-2024-42449, werden ontdekt tijdens interne audits en vormen significante risico’s als de bijbehorende patches niet worden toegepast.
Een kritieke kwetsbaarheid voor externe code-uitvoering
De ernstigste kwetsbaarheid, CVE-2024-42448, heeft een score van 9,9 op 10 op de CVSS-schaal en benadrukt de gevaarlijkheid. Deze fout stelt aanvallers in staat om willekeurige code uit te voeren op niet bijgewerkte VSPC-servers vanaf een machine met een geautoriseerde managementagent. Volgens Veeam kan dit soort kwetsbaarheid worden uitgebuit om servers te compromitteren en volledige controle over ze te nemen.
Daarentegen stelt de kwetsbaarheid CVE-2024-42449, met een hoge ernst en een CVSS-score van 7,1, aanvallers in staat om NTLM hashes van de VSPC-server te stelen en bestanden te verwijderen, wat kan leiden tot significante gegevensverliezen en onderbreking van kritieke diensten.
Beide kwetsbaarheden treffen versies 8.1.0.21377 en eerder van de console, inclusief versies 7 en 8. Verder waarschuwt Veeam dat ook niet-ondersteunde producten als kwetsbaar beschouwd moeten worden, ondanks dat ze niet aan specifieke tests zijn onderworpen.
Het belang van onmiddellijke update
In hun bericht heeft Veeam dienstverleners die compatibele versies van VSPC gebruiken aangespoord om de updates zo snel mogelijk te installeren om de geassocieerde risico’s te beperken. Gebruikers van niet-ondersteunde versies worden op hun beurt ten zeerste aanbevolen om te upgraden naar de nieuwste versie van de console.
De waarschuwing komt op een moment dat aanvallen op vergelijkbare kwetsbaarheden bijzonder destructief zijn gebleken. Volgens recente rapporten van Sophos X-Ops is een kwetsbaarheid voor externe code-uitvoering in de Backup & Replication-software van Veeam, geïdentificeerd in september van 2024 als CVE-2024-40711, gebruikt om ransomware zoals Frag, Akira en Fog te verspreiden op onbeschermde servers.
Proactieve beveiligingsmaatregelen
Veeam benadrukt zijn toewijding aan de beveiliging van zijn producten, en het belang van het toepassen van beveiligingsupdates om de exploitatie van kwetsbare systemen te voorkomen. Zodra er een patch openbaar wordt gemaakt, is het gebruikelijk dat aanvallers reverse engineering proberen te gebruiken om kwetsbaarheden in niet bijgewerkte systemen te identificeren en uit te buiten.
Daarnaast benadrukt het bedrijf dat deze kwetsbaarheden alleen kunnen worden uitgebuit als de managementagent geautoriseerd is op het doelsysteem, een detail dat het belang van het implementeren van strikte toegangs- en monitoringbeleid onderstreept.
Impact op de industrie
Met meer dan 550.000 klanten wereldwijd, inclusief 74% van de bedrijven uit de Global 2.000 en 82% van de Fortune 500 bedrijven, zijn de hulpmiddelen van Veeam essentieel voor de operationele continuïteit van vele organisaties. Dit incident benadrukt de groeiende noodzaak voor het handhaven van robuuste cybersecuritypraktijken in een steeds veranderend bedreigingslandschap.
Veeams snelle reactie op deze kwetsbaarheden toont de kritische rol die interne auditprocessen en kwetsbaarheidsdisclosureprogramma’s spelen in de bescherming van moderne systemen. Echter, zoals cybersecurityexperts hebben aangegeven, ligt de sleutel voor het voorkomen van aanvallen in de tijdige update van alle getroffen systemen.
Via: Veeam en Open Security