Уязвимости в программном обеспечении Veeam могут позволить злоумышленникам удаленно выполнить код

Veeam Software, ведущий поставщик решений для резервного копирования, восстановления и управления данными, объявила об обнаружении и устранении ряда критических и критических уязвимостей во многих продуктах.
Эти уязвимости представляют потенциальный риск для пользователей Veeam Backup & Replication, Veeam ONE, Veeam Agent for Linux, Veeam Service Provider Console и других продуктов Veeam.
Ключевые уязвимости и их влияние
CVE-2024-40711 — это критическая уязвимость ((оценка CVSS 9,8)), которая делает возможным удаленное выполнение кода (RCE) без проверки подлинности.
CVE-2024-40713 и CVE-2024-40710 — это уязвимости высокого уровня, которые позволяют пользователям с низким уровнем привилегий изменять настройки многофакторной аутентификации (MFA) и выполнять удаленный код.
Кроме того, CVE-2024-39718 позволяет пользователям с низким уровнем привилегий удаленно удалять файлы с оценкой CVSS 8,1. Другие уязвимости включают проблемы с проверкой сертификата TLS и повышением локальных привилегий.

1. Агент Veeam для Linux — CVE-2024-40709: уязвимость высокого уровня, позволяющая получить локальные привилегии root, о которой сообщает HackerOne.
2. Veeam ONE — CVE-2024-42024 и CVE-2024-42019: критические уязвимости, позволяющие удаленно выполнять код и получать доступ к хешам NTLM с оценками CVSS 9,1 и 9,0 соответственно. Дополнительные уязвимости включают выполнение кода с правами администратора и внедрение HTML.
3. Консоль поставщика услуг Veeam — CVE-2024-38650 и CVE-2024-39714: критические уязвимости, которые позволяют удаленное выполнение кода через хэши NTLM с оценкой CVSS 9,9 и загрузку произвольных файлов.
4. Veeam Backup для Nutanix AHV и других плагинов — CVE-2024-40718: повышенная уязвимость SSRF, позволяющая повысить локальные привилегии.
   Решения и обновления
   Veeam устранил эти уязвимости в последних обновлениях программного обеспечения и призвал всех пользователей выполнить обновление до следующих версий:

• Veeam Backup & Replication: версия 12.2 (сборка 12.2.0.334)
• Агент Veeam для Linux: версия 6.2 (сборка 6.2.0.101).
• Veeam ONE: версия 12.2 (сборка 12.2.0.4093)
• Консоль поставщика услуг Veeam: версия 8.1 (сборка 8.1.0.21377).
• Veeam Backup для Nutanix AHV и других плагинов: последние версии включены в Veeam Backup & Replication 12.2.
  •
  Пользователям рекомендуется обновиться до последних версий, чтобы снизить потенциальные риски безопасности. Veeam продолжает уделять приоритетное внимание безопасности и призывает клиентов быть бдительными и активными при установке обновлений.