Veeam bugün müşterileri, kimlik doğrulanmamış saldırganların Veeam Backup Enterprise Manager (VBEM) aracılığıyla herhangi bir hesaba imza atmasına izin veren kritik bir güvenlik açığı yamaları konusunda uyardı.
VBEM, yöneticilerin veeam yedekleme ve çoğaltma kurulumlarını tek bir web konsolu aracılığıyla yönetmelerini sağlayan web tabanlı bir platformdur. Bir kuruluşun yedekleme altyapısı ve büyük ölçekli dağıtımlar arasında yedekleme işlerini kontrol etmeye ve restorasyon işlemlerini gerçekleştirmeye yardımcı olur.
VBEM'in varsayılan olarak etkin olmadığını ve tüm ortamların, Veeam'in CVSS taban skoru 9.8/10 ile derecelendirdiği CVE-2024-29849 güvenlik açığından yararlanan saldırılara duyarlı olmadığını belirtmek önemlidir.
Şirket, "Veeam Backup Enterprise Manager'daki bu güvenlik açığı, yetkili olmayan bir saldırganın veeam Backup Enterprise Manager web arayüzünde herhangi bir kullanıcı olarak giriş yapmasına izin veriyor."
Bu güvenlik kusurunu yamalayan VBEM sürüm 12.1.2.172'ye hemen yükselemeyen yöneticiler, VeeeAmenTerPrisemEnAgersVC (Veeam Backup Enterprise Manager) ve VeeamRestSVC (Veeam Restful API) hizmetlerini durdurarak ve devre dışı bırakarak onu hafifletebilir.
Şu anda kullanımda değilse, Veeam Backup Enterprise Manager da saldırı vektörünü kaldırmak için bu talimatlar kullanılarak kaldırılabilir.
Bugün veeam ayrıca, NTLM rölesi (CVE-2024-29850) aracılığıyla hesap devralmasına izin veren iki yüksek-şiddetli VBEM güvenlik açığı ve yüksek privileged kullanıcıların veeam Backup Enterprise Manager Hizmet Hesabı'nın NTLM hash'ını çalmasını sağlayan ikincisi de yamaladı. Varsayılan yerel sistem hesabı (CVE-2024-29851) olarak çalışacak şekilde yapılandırılmamıştır.
Mart 2023'te Veeam, yedekleme altyapı ana bilgisayarlarını ihlal etmek için kullanılabilecek yedekleme ve çoğaltma yazılımında yüksek şiddetli bir güvenlik açığı (CVE-2023-27532) yamaladı.
Bu güvenlik açığı daha sonra, Conti, Revil, Labirent, Egregor ve Blackbasta gibi çeşitli fidye yazılımı operasyonlarıyla bağlantılı finansal olarak motive edilen FIN7 tehdit grubuna atfedilen saldırılarda kullanıldı.
Aylar sonra, Küba fidye yazılımı iştirakleri, ABD kritik altyapısını hedefleyen saldırılarda ve Latin Amerika'daki Latin Amerika BT şirketlerini aynı güvenlik açığını kullandılar.
Kasım ayında şirket, bir BT Altyapı İzleme ve Analytics platformunda diğer iki kritik kusuru (9.8 ve 9.9/10 CVSS taban puanları ile) ele almak için hotfixes yayınladı. Bu kusurlar, tehdit aktörlerinin uzaktan kod yürütme (CVE-2023-38547) ve savunmasız sunuculardan NTLM karmalarını (CVE-2023-38548) çalmasına izin verir.
Veeam ürünleri, tüm küresel 2.000 şirketlerin% 74'ü dahil olmak üzere dünya çapında 450.000'den fazla müşteri tarafından kullanılmaktadır.
Github, Enterprise Server'daki SAML Auth Bypass kusurunu uyarıyor
D-Link Exo AX4800 yönlendiriciler
1.400'den fazla crushftp sunucusu aktif olarak sömürülen hataya karşı savunmasız
Kubernetes Cryptomining Saldırılarında Hacker Hack OpenMetadata Uygulamaları
90.000'den fazla LG akıllı TV, uzaktan saldırılara maruz kalabilir
Kaynak: Bleeping Computer