Veeam Backup Enterprise Yöneticisi Kimlik Doğrulama Bypass Kusurunun CVE-2024-29849 olarak izlenen bir konsept kanıtı (POC) istismarı artık herkese açık olarak mevcuttur, bu da yöneticilerin en son güvenlik güncellemelerini uygulamasını acil hale getirir.
Veeam Backup Enterprise Manager (VBEM), bir web konsolu aracılığıyla Veeam yedekleme ve çoğaltma kurulumlarını yönetmek için web tabanlı bir platformdur. Bir kuruluşun yedekleme altyapısı ve büyük ölçekli dağıtımlar arasında yedekleme işlerini kontrol etmeye ve restorasyon işlemlerini gerçekleştirmeye yardımcı olur.
Veeam, 21 Mayıs'ta kritik kusur hakkında bir güvenlik bültenini yayınladı ve uzaktanekli olmayan saldırganların herhangi bir kullanıcı olarak VBEM'in Web arayüzüne giriş yapmasını sağlayan kritik bir güvenlik açığı hakkında uyardı.
Satıcı, müşterilerini VBEM sürüm 12.1.2.172'ye yükselterek sorunu ele almaya çağırırken, aynı zamanda güncellemeyi hemen uygulayamayanlar için hafifletme ipuçlarını paylaştı.
Sina Kheirkha'nın teknik yazısında, siber güvenlik araştırmacısı, kusurun TCP bağlantı noktası 9398'i dinleyen 'Veeam.backup.trestapiservice.exe' hizmetinde olduğunu ve ana web uygulaması için bir dinlenme API sunucusu olarak işlev gören olduğunu açıklıyor.
Exploit, Veeam API'sını kullanarak savunmasız hizmete özel hazırlanmış bir VMware tek imzalı (SSO) jetonu gönderilmeyi içerir.
Jeton, bir yönetici kullanıcısını taklit eden bir kimlik doğrulama isteği ve çok önemli bir şekilde veEAM doğrulamayan bir SSO hizmet URL'sini taklit eder.
Base64 kodlu SSO jetonu, saldırgan kontrollü bir URL'ye bir sabun isteği yoluyla geçerliliğini doğrulamak için XML formunda kod çözülür ve yorumlanır.
Saldırgan tarafından kurulan bu haydut sunucu, doğrulama isteklerine olumlu yanıt verir, bu nedenle Veeam kimlik doğrulama isteğini kabul eder ve yöneticiye saldırgana erişim sağlar.
Sağlanan istismar, bir geri arama sunucusu kurmak, hazırlanmış jetonun gönderilmesi ve başarılı bir sömürü kanıtı olarak dosya sunucularının bir listesini almak da dahil olmak üzere güvenlik açığından yararlanmak için tüm adımları gösterir.
Her ne kadar CVE-2024-29849'un vahşice sömürülmesi henüz rapor edilmemiş olsa da, çalışan bir sömürünün kamuya açık olması kısa sürede bunu değiştirebilir. Bu nedenle, 12.1.2.172 veya daha sonraki sürümlere güncelleme en kısa sürede kritiktir.
Yama yapamayanlar şu önerileri izlemelidir:
Kritik İlerleme için İstismar Telerik Auth Bypass Serbest Bırakılan, Şimdi Yama
QNAP QTS Sıfır Günündeki Paylaşım Özelliği Halka Giriyor RCE istismar
D-Link Exo AX4800 yönlendiriciler
Maksimum Ceza Fortinet RCE Bug, Patch şimdi piyasaya sürülen istismar
Maksimum ciddiyet Flowmon Bug halka açık bir istismar var, şimdi yama
Kaynak: Bleeping Computer