PoC ของช่องโหว่ Auth Bypass ระดับ Critical บน Veeam ถูกปล่อยออกมาแล้ว อัปเดตด่วน

ชุดสาธิตการโจมตีหรือ Proof-of-Concept (PoC) ของช่องโหว่ Authentication Bypass ของ Veeam Backup Enterprise Manager (CVE-2024-29849) ถูกปล่อยออกสู่สาธารณะเรียบร้อยแล้ว ผู้ดูแลระบบควรรีบทำการอัปเดตเพื่อป้องกันการถูกโจมตีจากช่องโหว่โดยด่วน

Veeam Backup Enterprise Manager (VBEM) เป็น web-based platform สำหรับจัดการการติดตั้ง Veeam Backup & Replication ผ่านทาง web console ช่วยควบคุมงานสำรองข้อมูล และการกู้คืนข้อมูลใน backup infrastructure ขององค์กร

Veeam ได้เผยแพร่ช่องโหว่ดังกล่าวเมื่อวันที่ 21 พฤษภาคม 2024 โดยช่องโหว่ดังกล่าวทำให้ Hacker ที่ไม่ต้องผ่านการยืนยันตัวตน สามารถเข้าสู่ VBEM web interface ในฐานะผู้ใช้งานคนใดก็ได้ ซึ่งปัจจุบันสามารถแก้ไขได้โดยการอัปเดตเป็น VBEM เวอร์ชัน 12.1.2.172

รายละเอียดการโจมตี

Sina Kheirkha นักวิจัยด้านความปลอดภัยทางไซเบอร์ระบุว่า ช่องโหว่ดังกล่าวอยู่ใน 'Veeam.Backup.Enterprise.RestAPIService.exe' service ซึ่งจะทำงานผ่านพอร์ต TCP 9398 ที่ทำงานเป็น REST API server สำหรับ web application

ช่องโหว่นี้เกี่ยวข้องกับการส่งโทเค็น VMware single-sign-on (SSO) ที่สร้างขึ้นเป็นพิเศษไปยังบริการที่มีช่องโหว่โดยใช้ Veeam API ซึ่งโทเค็นประกอบด้วย authentication request ที่ปลอมเป็น administrator และ URL ของ SSO service ที่ Veeam ไม่ได้ตรวจสอบ

โทเค็น SSO ที่เข้ารหัส base64 จะถูกถอดรหัส และแสดงในรูปแบบ XML เพื่อตรวจสอบความถูกต้องผ่าน SOAP request ไปยัง URL ของ Hacker

หลังจากนั้น Server ของ Hacker ที่ได้ถูกตั้งค่าแบบ positively to validation requests ทำให้ Veeam ยอมรับ authentication request และให้สิทธิ์ผู้ดูแลระบบในการเข้าถึงแก่ Hacker

โดยชุดสาธิตการโจมตี (PoC) ได้แสดงวิธีการ และขั้นตอนการโจมตีเหล่านี้ทั้งหมด รวมถึงการตั้งค่าเซิร์ฟเวอร์ callback การส่งโทเค็นที่สร้างขึ้น และการดึงรายการไฟล์บนเซิร์ฟเวอร์เพื่อเป็นหลักฐานการโจมตีช่องโหว่ที่ประสบความสำเร็จ

การลดผลกระทบในกรณีที่ยังไม่สามารถอัปเดตได้

แม้ว่ายังไม่มีรายงานการโจมตีจากช่องโหว่ CVE-2024-29849 แต่การโจมตีช่องโหว่สามารถเปลี่ยนแปลงได้ในเวลาอันสั้นภายหลังจากการเปิดเผย PoC ดังนั้นการอัปเดตเป็นเวอร์ชัน 12.1.2.172 หรือใหม่กว่าโดยเร็วที่สุดจึงเป็นสิ่งที่ควรทำโดยด่วน

ทั้งนี้ผู้ที่ยังไม่สามารถอัปเดตช่องโหว่ได้ควรปฏิบัติตามคำแนะนำของ Veeam ดังนี้ :

  • จำกัดการเข้าถึง VBEM web interface โดยการจำกัดการเข้าถึงเครือข่ายเฉพาะที่อยู่ IP ที่เชื่อถือได้เท่านั้น
  • ใช้ Firewall rules เพื่อป้องกันการเข้าถึงพอร์ตที่ใช้โดย Veeam services โดยไม่ได้รับอนุญาต (เช่น พอร์ต 9398 สำหรับ REST API)
  • เปิดใช้งาน multi-factor authentication สำหรับทุกบัญชีที่เข้าถึง VBEM
  • ใช้ Web Application Firewall เพื่อช่วยตรวจจับ และบล็อก request ที่เป็นอันตรายซึ่งกำหนดเป้าหมายไปที่ VBEM
  • ตรวจสอบ Log การเข้าถึงที่ดูเป็นความพยายามในการเข้าถึงที่น่าสงสัย หรือไม่ได้รับอนุญาต และตั้งค่าการแจ้งเตือนสำหรับความพยายามในการเข้าสู่ระบบจาก IP addresses ที่ไม่น่าเชื่อถือ
  • ทำการแยก VBEM serve ออกจากระบบที่สำคัญอื่น ๆ ภายในเครือข่ายของ เพื่อลดความเสี่ยงในแพร่กระจายการโจมตีไปในเครือข่าย

ที่มา : bleepingcomputer.com