Veeam แจ้งเตือนช่องโหว่ระดับ Critical ในซอฟแวร์ Backup และ Replication

Veeam ออกแพตช์แก้ไขช่องโหว่ในเดือน กันยายน 2024 ซึ่งเป็นช่องโหว่ความรุนแรงระดับ High และ Critical ทั้งหมด 18 รายการ ใน Veeam Backup & Replication, Service Provider Console และ One

ช่องโหว่ที่มีระดับ Critical ที่ถูกแก้ไข คือ CVE-2024-40711 ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) (คะแนน CVSS v3.1: 9.8) บน Veeam Backup & Replication (VBR) และมีความเสี่ยงที่อาจถูกโจมตีสูง เพราะเป็นช่องโหว่ที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน

VBR ถูกใช้เพื่อจัดการ และรักษาความปลอดภัยโครงสร้างพื้นฐานการสำรองข้อมูลสำหรับองค์กร ดังนั้นจึงมีบทบาทสำคัญในการปกป้องข้อมูล เนื่องจาก VBR ทำหน้าที่เป็นจุดควบคุมหลัก ในการควบคุมระบบภายใน ทำให้ตกเป็นเป้าหมายสำหรับผู้โจมตีที่ใช้ ransomware

โดยผู้โจมตีที่ใช้ ransomware มีเป้าหมายเพื่อขโมยข้อมูลสำรองเพื่อเรียกค่าไถ่ และอาจจะมีการลบข้อมูล หรือเข้ารหัสไฟล์ไว้ ทำให้ผู้ใช้งานไม่สามารถกู้คืนไฟล์กลับมาได้

ในอดีตกลุ่ม Cuba ransomware และกลุ่ม FIN7 มีการทำงานร่วมมือกันกับกลุ่ม Conti, REvil, Maze, Egregor และ BlackBasta โดยมีเป้าหมายเดียวกันคือช่องโหว่ของ VBR

ช่องโหว่ดังกล่าว มีรายงานจาก HackerOne ว่าส่งผลกระทบต่อ Veeam Backup & Replication 12.1.2.172 และเวอร์ชันก่อนหน้าทั้งหมดในเวอร์ชัน 12

แม้ว่าจะยังไม่มีการเปิดเผยรายละเอียดออกมา แต่ช่องโหว่ RCE ระดับ critical เป็นช่องโหว่ที่ทำให้สามารถควบคุมระบบได้ทั้งหมด ดังนั้นผู้ดูแลระบบควรอัปเดตแพตช์แก้ไขช่องโหว่ VBR เวอร์ชัน 12.2.0.334

ช่องโหว่อื่น ที่ถูกระบุไว้ในรายงานเกี่ยวข้องกับ Backup & Replication เวอร์ชัน 12.1.2.172 และเวอร์ชันก่อนหน้า

CVE-2024-40710 (คะแนน CVSS: 8.8) ความรุนแรงระดับ High เป็นช่องโหว่ที่สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) และดึงข้อมูลที่สำคัญ เช่น saved credentials และ passwords โดยใช้สิทธิ์ระดับต่ำได้

CVE-2024-40713 (คะแนน CVSS: 8.8) ความรุนแรงระดับ High เป็นช่องโหว่ที่ทำให้ผู้ใช้ที่มีสิทธิ์ระดับต่ำสามารถเปลี่ยนการตั้งค่า Multi-Factor Authentication (MFA) และสามารถข้ามการตรวจสอบแบบ MFA ได้

CVE-2024-40714 (คะแนน CVSS: 8.3) ความรุนแรงระดับ High เป็นช่องโหว่การตรวจสอบใบรับรองของ TLS ที่ไม่สมบูรณ์ ทำให้สามารถดักจับข้อมูล credential ระหว่างทำการกู้คืนข้อมูลบนเครือข่ายเดียวกัน

CVE-2024-39718 (คะแนน CVSS: 8.1) ความรุนแรงระดับ High เป็นช่องโหว่ที่ทำให้ผู้ใช้ที่มีสิทธิ์ระดับต่ำสามารถลบไฟล์ได้จากระยะไกลด้วยสิทธิ์ที่เทียบเท่ากับ service account ได้

CVE-2024-40712 (คะแนน CVSS: 7.8) ความรุนแรงระดับ High เป็นช่องโหว่ Path traversal ที่อนุญาตให้ผู้ใช้ที่มีสิทธิ์ระดับต่ำสามารถเพิ่มสิทธิ์ใน local privilege escalation (LPE) ได้

ช่องโหว่ระดับ critical ใน Veeam เพิ่มเติม

จากรายงานของ Veeam ระบุถึงช่องโหว่ที่มีความรุนแรงระดับ Critical อีก 4 รายการ ซึ่งส่งผลกระทบต่อ Service Provider Console เวอร์ชัน 8.1.0.21377 และเวอร์ชั่นก่อนหน้า รวมไปถึงส่งผลกระทบต่อ products ONE เวอร์ชัน 12.1.0.3208 และเวอร์ชั่นก่อนหน้า

โดยเริ่มจาก CVE-2024-42024 (คะแนน CVSS 9.1) เป็นช่องโหว่ที่ผู้โจมตีที่มีข้อมูล credentials ของ ONE Agent service account จะสามารถเรียกใช้โค้ดจากระยะไกลบนเครื่องโฮสต์ได้

Veeam ONE ยังได้รับผลกระทบจากช่องโหว่ CVE-2024-42019 (คะแนน CVSS 9.0) โดยเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถเข้าถึงแฮช NTLM ของบัญชี Reporter Service ได้ แต่การโจมตีผ่านช่องโหว่นี้จะต้องรวบรวมข้อมูลผ่าน VBR ก่อน

Veeam Service Provider Console ได้รับผลกระทบจากช่องโหว่ CVE-2024-38650 (คะแนน CVSS 9.9) เป็นช่องโหว่ที่ช่วยให้ผู้โจมตีที่มีสิทธิ์ระดับต่ำสามารถเข้าถึงแฮช NTLM ของ service account บนเซิร์ฟเวอร์ VSPC ได้

ช่องโหว่ Critical อีกรายการคือ CVE-2024-39714 (คะแนน CVSS 9.9) เป็นช่องโหว่ที่ทำให้ผู้ใช้ที่มีสิทธิ์ระดับต่ำสามารถอัปโหลดไฟล์ที่ต้องการไปยังเซิร์ฟเวอร์ ส่งผลทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้

โดยช่องโหว่ดังกล่าวทั้งหมด ได้รับการแก้ไขไปแล้วใน Veeam ONE เวอร์ชัน 12.2.0.4093 และ Veeam Service Provider Console เวอร์ชัน 8.1.0.21377 ซึ่งผู้ใช้ควรอัปเกรดเป็นเวอร์ชันดังกล่าวโดยเร็วที่สุด

ที่มา : Bleepingcomputer.com