Pasar al contenido principal

Se han identificado múltiples vulnerabilidades de alto impacto en Veeam Backup & Replication y Veeam Agent for Windows que permiten la explotación por usuarios con privilegios bajos, resultando en escaladas de privilegios y compromisos completos del sistema. Las vulnerabilidades abarcan ejecución remota de código, filtración de credenciales en texto plano, inyecciones de DLL y deserialización insegura. La explotación de estas vulnerabilidades podría facilitar el acceso no autorizado a sistemas gestionados, comprometer la integridad y confidencialidad de los datos, y provocar ataques adicionales, incluyendo Denegación de Servicio. Se recomienda actualizar a las versiones corregidas para mitigar estos riesgos.

Recursos afectados

  • Veeam Backup & Replication 12.2.0.334 y versiones anteriores
  • Veeam Agent for Microsoft Windows 6.2 y versiones anteriores

Análisis técnico

  • CVE-2024-42456: Una vulnerabilidad en la plataforma Veeam Backup & Replication permite a un usuario con privilegios bajos y un rol específico explotar un método que actualiza configuraciones críticas, como modificar el certificado de cliente de confianza utilizado para la autenticación en un puerto específico. Esto puede resultar en un acceso no autorizado, permitiendo al usuario invocar métodos privilegiados e iniciar servicios críticos. El problema radica en requisitos insuficientes de permisos en el método, lo que permite a usuarios con privilegios bajos realizar acciones que deberían requerir permisos de nivel superior.
  • CWE -
  • CVSS: 8.8
  • Vector CVSS: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Vector de ataque: Red
    • Complejidad: Baja
    • Privilegios requeridos: Bajos
    • Interacción del usuario: Ninguna
    • Alcance: Sin cambios
    • Confidencialidad: Alta
    • Integridad: Alta
    • Disponibilidad: Alta
  • Explotación: No detectada
  • CVE-2024-42452: Se ha identificado una vulnerabilidad en Veeam Backup & Replication que permite a un usuario con bajos privilegios iniciar un agente de forma remota en modo servidor y obtener credenciales, lo que resulta en una escalada de privilegios a nivel del sistema. Esto permite al atacante subir archivos al servidor con privilegios elevados. La vulnerabilidad existe porque las llamadas remotas eluden las verificaciones de permisos, lo que conduce a un compromiso total del sistema.
  • CWE -
  • CVSS: 8.8
  • Vector CVSS: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Vector de ataque: Red
    • Complejidad: Baja
    • Privilegios requeridos: Bajos
    • Interacción del usuario: Ninguna
    • Alcance: Sin cambios
    • Confidencialidad: Alta
    • Integridad: Alta
    • Disponibilidad: Alta
  • Explotación: No detectada
  • CVE-2024-40717: Una vulnerabilidad en Veeam Backup & Replication permite a un usuario con bajos privilegios y ciertos roles realizar ejecución remota de código (RCE) al actualizar trabajos existentes. Estos trabajos pueden configurarse para ejecutar scripts pre y post, los cuales pueden estar ubicados en un recurso compartido de red y son ejecutados con privilegios elevados por defecto. El usuario puede actualizar un trabajo y programarlo para que se ejecute casi inmediatamente, lo que permite la ejecución de código arbitrario en el servidor.
  • CWE -
  • CVSS: 8.8
  • Vector CVSS: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Vector de ataque: Red
    • Complejidad: Baja
    • Privilegios requeridos: Bajos
    • Interacción del usuario: Ninguna
    • Alcance: Sin cambios
    • Confidencialidad: Alta
    • Integridad: Alta
    • Disponibilidad: Alta
  • Explotación: No detectada
  • CVE-2024-42451: Una vulnerabilidad en Veeam Backup & Replication permite a usuarios con privilegios bajos filtrar todas las credenciales guardadas en texto plano. Esto se logra mediante la invocación de una serie de métodos a través de un protocolo externo, recuperando finalmente las credenciales utilizando una configuración maliciosa del lado del atacante. Esto expone datos sensibles, que podrían ser utilizados para ataques adicionales, incluyendo el acceso no autorizado a sistemas gestionados por la plataforma.
  • CWE -
  • CVSS: 7.7
  • Vector CVSS: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
    • Vector de ataque: Red
    • Complejidad: Baja
    • Privilegios requeridos: Bajos
    • Interacción del usuario: Ninguna
    • Alcance: Con cambios
    • Confidencialidad: Alta
    • Integridad: Ninguna
    • Disponibilidad: Ninguna
  • Explotación: No detectada
  • CVE-2024-42457: Una vulnerabilidad en Veeam Backup & Replication permite a usuarios con ciertos roles de operador exponer credenciales guardadas aprovechando una combinación de métodos en una interfaz de gestión remota. Esto se puede lograr utilizando un objeto de sesión que permite la enumeración y explotación de credenciales, lo que lleva a la filtración de credenciales en texto plano a un host malicioso. El ataque se ve facilitado por el uso incorrecto de un método que permite a los operadores agregar un nuevo host con una IP controlada por el atacante, lo que les permite recuperar credenciales sensibles en texto plano.
  • CWE -
  • CVSS: 7.7
  • Vector CVSS: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
    • Vector de ataque: Red
    • Complejidad: Baja
    • Privilegios requeridos: Bajos
    • Interacción del usuario: Ninguna
    • Alcance: Con cambios
    • Confidencialidad: Alta
    • Integridad: Ninguna
    • Disponibilidad: Ninguna
  • Explotación: No detectada
  • CVE-2024-45204: Se ha identificado una vulnerabilidad donde un usuario con bajos privilegios puede explotar permisos insuficientes en el manejo de credenciales para filtrar hashes NTLM de credenciales guardadas. La explotación implica el uso de credenciales recuperadas para exponer hashes NTLM sensibles, afectando sistemas más allá del objetivo inicial y potencialmente llevando a vulnerabilidades de seguridad más amplias.
  • CWE -
  • CVSS: 7.7
  • Vector CVSS: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
    • Vector de ataque: Red
    • Complejidad: Baja
    • Privilegios requeridos: Bajos
    • Interacción del usuario: Ninguna
    • Alcance: Con cambios
    • Confidencialidad: Alta
    • Integridad: Ninguna
    • Disponibilidad: Ninguna
  • Explotación: No detectada
  • CVE-2024-42453: Una vulnerabilidad en Veeam Backup & Replication permite a usuarios con bajos privilegios controlar y modificar configuraciones en hosts de infraestructura virtual conectados. Esto incluye la capacidad de apagar máquinas virtuales, eliminar archivos en el almacenamiento y realizar cambios en la configuración, lo que podría llevar a problemas de Denegación de Servicio (DoS) e integridad de datos. La vulnerabilidad es causada por verificaciones de permisos inapropiadas en métodos accesibles a través de servicios de administración.
  • CWE -
  • CVSS: 7.4
  • Vector CVSS: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L
    • Vector de ataque: Red
    • Complejidad: Baja
    • Privilegios requeridos: Bajos
    • Interacción del usuario: Ninguna
    • Alcance: Con cambios
    • Confidencialidad: Baja
    • Integridad: Baja
    • Disponibilidad: Baja
  • Explotación: No detectada
  • CVE-2024-42455: Una vulnerabilidad en Veeam Backup & Replication permite a un usuario de bajo privilegio conectarse a servicios remotos y explotar la deserialización insegura al enviar una colección de archivos temporales serializados. Este exploit permite al atacante eliminar cualquier archivo en el sistema con privilegios de cuenta de servicio. La vulnerabilidad es causada por una lista negra insuficiente durante el proceso de deserialización.
  • CWE -
  • CVSS: 7.1
  • Vector CVSS: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H
    • Vector de ataque: Red
    • Complejidad: Baja
    • Privilegios requeridos: Bajos
    • Interacción del usuario: Ninguna
    • Alcance: Sin cambios
    • Confidencialidad: Ninguna
    • Integridad: Baja
    • Disponibilidad: Alta
  • Explotación: No detectada
  • CVE-2024-45207: Inyección de DLL en Veeam Agent for Windows puede ocurrir si la variable PATH del sistema incluye ubicaciones inseguras. Cuando el agente se ejecuta, busca en estos directorios las DLL necesarias. Si un atacante coloca una DLL maliciosa en uno de estos directorios, el Veeam Agent podría cargarla inadvertidamente, permitiendo al atacante ejecutar código dañino. Esto podría resultar en acceso no autorizado, robo de datos o interrupción de servicios.
  • CWE -
  • CVSS: 7.0
  • Vector CVSS: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Vector de ataque: Local
    • Complejidad: Alta
    • Privilegios requeridos: Bajos
    • Interacción del usuario: Ninguna
    • Alcance: Sin cambios
    • Confidencialidad: Alta
    • Integridad: Alta
    • Disponibilidad: Alta
  • Explotación: No detectada

Mitigación / Solución

Para mitigar las vulnerabilidades en Veeam Backup & Replication 12.2 y versiones anteriores, se recomienda actualizar a la versión 12.3 (build 12.3.0.310). Mientras tanto, se sugiere revisar y eliminar usuarios innecesarios o no confiables de la configuración de Usuarios y Roles en el servidor de backups. Para la vulnerabilidad en Veeam Agent for Microsoft Windows 6.2, actualizar a la versión 6.3 (incluida con Veeam Backup & Replication 12.3) y asegurarse de que el variable PATH no incluya directorios editables por usuarios no confiables.

Referencias adicionales

Compartir

Compartir en Linkedin