Veeamは本日、認証されていない攻撃者がVeeam Backup Enterprise Manager (VBEM)経由で任意のアカウントにサインインできる重大なセキュリティ脆弱性にパッチを適用するよう顧客に警告しました。
VBEMは、管理者が単一のWebコンソールを介してVeeam Backup & Replicationインストールを管理できるWebベースのプラットフォームです。VBEMは、組織のバックアップインフラストラクチャおよび大規模なデプロイメント全体におけるバックアップジョブの制御およびリストア操作の実行を支援します。
VBEMはデフォルトでは有効になっておらず、すべての環境がCVE-2024-29849の脆弱性を悪用した攻撃の影響を受けるわけではないことに注意することが重要です。
「Veeam Backup Enterprise Managerのこの脆弱性により、認証されていない攻撃者が任意のユーザとしてVeeam Backup Enterprise ManagerのWebインターフェイスにログインすることが可能になります」と同社は説明しています。
このセキュリティ欠陥を修正するVBEMバージョン12.1.2.172にすぐにアップグレードできない管理者は、VeeamEnterpriseManagerSvc(Veeam Backup Enterprise Manager)サービスとVeeamRESTSvc(Veeam RESTful API)サービスを停止して無効にすることでこの脆弱性を軽減できます。
現在使用されていない場合、Veeam Backup Enterprise Managerをアンインストールすることもできます。
本日、Veeamは2つの深刻度の高いVBEMの脆弱性にもパッチを適用しました。1つはNTLMリレー経由でアカウント乗っ取りを可能にする脆弱性(CVE-2024-29850)、もう1つはデフォルトのローカルシステムアカウントとして実行するように設定されていない場合、高特権ユーザがVeeam Backup Enterprise ManagerサービスアカウントのNTLMハッシュを盗むことを可能にする脆弱性(CVE-2024-29851)です。
ランサムウェア攻撃に狙われるVeeamの欠陥
2023年3月、VeeamはBackup & Replicationソフトウェアに深刻度の高い脆弱性(CVE-2023-27532)のパッチを適用しました。
この脆弱性はその後、Conti、Revil、Maze、Egregor、BlackBastaなどのさまざまなランサムウェアの操作に関連する、金銭的動機に基づくFIN7脅威グループに起因する攻撃で悪用されました。
数カ月後、キューバのランサムウェア関連企業は、米国の重要インフラや中南米のIT企業を標的とした攻撃で同じ脆弱性を使用した。
11月には、同社のITインフラ監視・分析プラットフォーム「ONE」に存在する他の2つの重大な欠陥(CVSSベーススコアが9.8と9.9/10)に対処するためのホットフィックスをリリースしました。これらの欠陥により、脅威者は脆弱なサーバからリモートでコードを実行されたり(CVE-2023-38547)、NTLMハッシュを盗まれたり(CVE-2023-38548)します。
Veeamの製品は、グローバル2,000社の74%を含む、世界中で450,000以上の顧客に使用されています。
Comments