Thông tin chi tiết
Veeam vừa phát hành 18 bản vá giải quyết các lỗ hổng bảo mật mức độ cao và nghiêm trọng trong các sản phẩm Veeam Backup & Replication, Service Provider Console và One. Đây là một bản cập nhật bảo mật quan trọng nhằm khắc phục nhiều điểm yếu trong các sản phẩm của họ.
Lỗ hổng nghiêm trọng nhất:
Mã số: CVE-2024-40711
Điểm CVSS v3.1: 9.8 (rất cao)
Ảnh hưởng: Veeam Backup & Replication (VBR)
Mô tả: Cho phép thực thi mã từ xa mà không cần xác thực (unauthenticated remote code execution - RCE)
Phiên bản bị ảnh hưởng: 12.1.2.172 và tất cả các bản build phiên bản 12 trước đó
Các lỗ hổng quan trọng khác:
a. CVE-2024-40713 (Điểm CVSS: 8.8):
- Cho phép người dùng có quyền hạn thấp thay đổi cài đặt Xác thực Đa yếu tố (MFA) và bỏ qua MFA.
b. CVE-2024-40710:
Có thể dẫn đến thực thi mã từ xa (RCE) với tài khoản dịch vụ.
Cho phép trích xuất thông tin nhạy cảm (thông tin đăng nhập và mật khẩu đã lưu).
Yêu cầu người dùng có quyền hạn thấp trong Veeam Backup & Replication.
c. CVE-2024-40712 (Điểm CVSS: 7.8):
- Lỗ hổng duyệt đường dẫn (path traversal) cho phép tấn công leo thang đặc quyền cục bộ (LPE).
d. CVE-2024-40714 (Điểm CVSS: 8.3):
- Lỗ hổng trong xác thực chứng chỉ TLS, cho phép kẻ tấn công trên cùng mạng đánh chặn thông tin đăng nhập nhạy cảm trong quá trình khôi phục.
e. CVE-2024-39718 (Điểm CVSS: 8.1):
- Cho phép người dùng có quyền hạn thấp xóa từ xa các tệp trên hệ thống với quyền tương đương tài khoản dịch vụ.
Phân tích
Các lỗ hổng này đều có mức độ nghiêm trọng cao, với điểm CVSS từ 7.8 đến 9.8.
Chúng ảnh hưởng đến nhiều khía cạnh bảo mật như thực thi mã từ xa, leo thang đặc quyền, và truy cập trái phép vào thông tin nhạy cảm.
Veeam đã phát hành bản vá cho tất cả các lỗ hổng này, cho thấy họ đang chủ động trong việc bảo vệ khách hàng.
Không có thông tin về việc các lỗ hổng này đã bị khai thác trong thực tế hay chưa.
Khuyến nghị
Người dùng Veeam Backup & Replication, Service Provider Console, và One nên cập nhật phần mềm lên phiên bản mới nhất càng sớm càng tốt.
Thực hiện đánh giá rủi ro để xác định xem hệ thống có bị ảnh hưởng không.
Tăng cường giám sát các hoạt động bất thường trong hệ thống.
Tham Khảo
- Veeam fixed a critical flaw in Veeam Backup & Replication software <https://securityaffairs.com/168088/security/veeam-backup-replication-cve-2024-40711.html>