Veeam แจ้งเตือนช่องโหว่ RCE ระดับ Critical ใน Service Provider Console

Veeam ได้ปล่อยอัปเดตแพตช์ด้านความปลอดภัยในวันนี้ (3 ธันวาคม 2024) เพื่อแก้ไขช่องโหว่สองรายการใน Service Provider Console (VSPC) รวมถึงช่องโหว่ Remote code execution (RCE) ระดับ Critical ที่พบระหว่างการทดสอบภายใน

VSPC ซึ่งบริษัทได้อธิบายว่าเป็น Remote managed BaaS (Backend as a Service) และ DRaaS (Disaster Recovery as a Service) ถูกใช้งานโดยผู้ให้บริการเพื่อตรวจสอบความสมบูรณ์ และความปลอดภัยของการสำรองข้อมูลของลูกค้า รวมถึงการจัดการ workload ที่ได้รับการป้องกันโดย Veeam ในระบบ Veeam-protected virtual, Microsoft 365 และ public cloud workloads

ช่องโหว่ด้านความปลอดภัยตัวแรกที่ได้รับการแก้ไขในวันนี้ (CVE-2024-42448 มีคะแนน CVSS 9.9/10) ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายบนเซิร์ฟเวอร์ที่ไม่ได้รับการอัปเดตจากเครื่อง VSPC management agent ได้

Veeam ยังได้แก้ไขช่องโหว่ที่มีระดับความรุนแรงสูง (CVE-2024-42449) ที่ทำให้ผู้โจมตีสามารถขโมย NTLM hash ของบัญชี service account ของเซิร์ฟเวอร์ VSPC และใช้การเข้าถึงที่ได้ เพื่อลบไฟล์บนเซิร์ฟเวอร์ VSPC ได้

อย่างไรก็ตาม ตามที่บริษัทได้อธิบายไว้ในคำแนะนำด้านความปลอดภัยที่เผยแพร่ในวันนี้ ช่องโหว่ทั้งสองรายการจะถูกโจมตีได้สำเร็จเฉพาะกรณีที่ management agent ได้รับการอนุญาตบนเซิร์ฟเวอร์เป้าหมายเท่านั้น

ช่องโหว่นี้ส่งผลกระทบต่อ VSPC เวอร์ชัน 8.1.0.21377 และเวอร์ชันก่อนหน้าทั้งหมด รวมถึงรุ่น 8 และ 7 แต่เวอร์ชันของผลิตภัณฑ์ที่ไม่ได้รับการสนับสนุนแล้ว ก็มีแนวโน้มที่จะได้รับผลกระทบเช่นกัน และควรถือว่ามีช่องโหว่แม้ว่าจะยังไม่ได้รับการทดสอบก็ตาม

Veeam ระบุว่า "ขอแนะนำให้ผู้ให้บริการที่ใช้ Veeam Service Provider Console เวอร์ชันที่ยังได้รับการสนับสนุน (เวอร์ชัน 7 และ 8) อัปเดตเป็น cumulative patch เวอร์ชันล่าสุด"

"ขอแนะนำให้ผู้ให้บริการที่ใช้เวอร์ชันที่ไม่ได้รับการสนับสนุนแล้วอัปเกรดเป็นเวอร์ชันล่าสุดของ Veeam Service Provider Console"

การโจมตีที่เกิดขึ้นกับช่องโหว่ของ Veeam ในช่วงที่ผ่านมาแสดงให้เห็นถึงความสำคัญของการติดตั้งแพตช์บนเซิร์ฟเวอร์ที่มีช่องโหว่โดยเร็วที่สุดเพื่อป้องกันการโจมตีที่อาจเกิดขึ้น

ในเดือนที่ผ่านมา ทีมตอบสนองต่อเหตุการณ์ของ Sophos X-Ops เปิดเผยว่า ช่องโหว่ RCE (CVE-2024-40711) ในซอฟต์แวร์ Backup & Replication (VBR) ของ Veeam ในเดือนกันยายน ขณะนี้กำลังถูกใช้โจมตีเพื่อแพร่กระจาย Frag ransomware

ช่องโหว่เดียวกันนี้ยังถูกใช้เพื่อรันโค้ดจากระยะไกลบนเซิร์ฟเวอร์ VBR ที่มีช่องโหว่ในการโจมตีด้วย Akira และ Fog ransomware ด้วยเช่นกัน

ที่มา : bleepingcomputer