Veeam ha descubierto y solucionado una vulnerabilidad crítica en la herramienta Veeam Backup Enterprise Manager (VBEM).
La vulnerabilidad, rastreada como CVE-2024-29849 (a través de BleepingComputer), se describe como una falla de omisión de autenticación que permite a casi cualquier persona iniciar sesión en cualquier cuenta de la plataforma. La puntuación de seguridad es 9,8 y se considera “crítica”.
VBEM es una herramienta de supervisión y gestión centralizada para entornos de Veeam Backup & Replication. Diseñado para implementaciones a gran escala o de nivel empresarial, proporciona una interfaz unificada que permite a los administradores gestionar, monitorear y controlar las operaciones de respaldo en múltiples servidores Veeam Backup & Replication.
Más correcciones de defectos
También vale la pena mencionar que no todas las empresas que utilizan VBEM son vulnerables, ya que VBEM no está habilitado de forma predeterminada. Aún así, recomendamos aplicar el parche lo antes posible.
Si no puede ejecutarlo inmediatamente, le recomendamos deshabilitar los servicios VeeamEnterpriseManagerSvc y VeeamRESTSvc. Desinstalar completamente Veeam Backup Enterprise Manager también es una opción viable. Para obtener más información, consulte la página de ayuda relacionada en el sitio web de la empresa.
La compañía dice que VBEM 12.1.2.172 es la primera versión que no se ve afectada por este error.
Veeam anunció correcciones para dos vulnerabilidades VBEM adicionales en su último aviso de seguridad. Una es una vulnerabilidad de apropiación de cuenta a través de una retransmisión NTLM (rastreada como CVE-2024-29850) y la otra es una vulnerabilidad que permite a un usuario con privilegios elevados robar el hash NTLM de la cuenta de servicio de Veeam Backup Enterprise Manager (sistema local predeterminado ( si no está configurado para ejecutarse como una cuenta). Esto se rastrea como CVE-2024-29851.
Más artículos de TechRadar Pro
Fuente: https://www.techradar.com/pro/security/veeam-reveals-critical-security-bug-in-backup-enterprise-manager-tool