Veeam

CVE-2024-29849として追跡されているVeeam Backup Enterprise Manager認証バイパスの欠陥に対する概念実証(PoC)エクスプロイトが現在公開されており、管理者は最新のセキュリティ・アップデートを適用することが急務となっています。

Veeam Backup Enterprise Manager (VBEM)は、Webコンソールを介してVeeam Backup & Replicationインストールを管理するためのWebベースのプラットフォームです。Veeam Backup Enterprise Manager(VBEM)は、Webコンソールを介してVeeam Backup & Replicationのインストールを管理するためのWebベースのプラットフォームです。

Veeamは、5月21日に重大な欠陥に関するセキュリティ情報を発行し、リモートの認証されていない攻撃者が任意のユーザとしてVBEMのWebインターフェイスにログインすることを可能にする重大な脆弱性について警告しました。

同ベンダーは、VBEMのバージョンを12.1.2.172にアップグレードすることでこの問題に対処するよう顧客に促すとともに、アップデートをすぐに適用できない場合の緩和策についても共有しています。

エクスプロイトの詳細

サイバーセキュリティ研究者のSina Kheirkha氏による技術的な記事で、この欠陥は「Veeam.Backup.Enterprise.RestAPIService.exe」サービスにあり、TCPポート9398でリッスンし、メインのWebアプリケーションのREST APIサーバとして機能すると説明しています。

このエクスプロイトでは、特別に細工したVMwareシングルサインオン(SSO)トークンを、Veeam APIを使用して脆弱なサービスに送信します。

トークンには、管理者ユーザになりすます認証リクエストと、Veeamが検証しないSSOサービスURLが含まれています。

base64エンコードされたSSOトークンは、デコードされ、XML形式で解釈され、攻撃者が制御するURLへのSOAPリクエストを介してその有効性を検証します。

攻撃者によって設定されたこの不正なサーバは、検証リクエストにポジティブに応答するため、Veeamは認証リクエストを受け入れ、攻撃者に管理者アクセスを与えます。

Arbitrary auth token validation
任意の認証トークン検証
Source: summoning.team

提供されたエクスプロイトは、コールバック・サーバーのセットアップ、細工されたトークンの送信、およびエクスプロイト成功の証拠としてファイル・サーバーのリストの取得を含む、脆弱性を悪用するためのすべてのステップを示しています。

リスクへの対処

CVE-2024-29849 の実環境での悪用はまだ報告されていませんが、実行可能な悪用が公開されれば、短期間で状況が変わる可能性があります。したがって、できるだけ早くバージョン12.1.2.172以降にアップデートすることが重要です。

パッチを適用できない場合は、以下の推奨事項に従ってください:

  • ネットワークアクセスを信頼できる IP アドレスのみに制限して、VBEM ウェブインタフェースへのアクセスを制限する。
  • ファイアウォールルールを実装し、Veeamサービスが使用するポート(例:REST APIのポート9398)への不正アクセスをブロックする。
  • VBEMにアクセスするすべてのアカウントで多要素認証を有効にします。
  • Webアプリケーションファイアウォールを導入し、VBEMをターゲットとした悪意のあるリクエストを検出、ブロックする。
  • 定期的にアクセスログを監視し、疑わしいアクセスや不正なアクセスを監査し、信頼できないIPアドレスからのログイン試行に対してアラートを設定する。
  • VBEMサーバーをネットワーク内の他の重要なシステムから隔離し、横移動のリスクを抑制する。