Veeam ได้ปล่อยอัปเดตแพตช์ด้านความปลอดภัยในวันนี้ (3 ธันวาคม 2024) เพื่อแก้ไขช่องโหว่สองรายการใน Service Provider Console (VSPC) รวมถึงช่องโหว่ Remote code execution (RCE) ระดับ Critical ที่พบระหว่างการทดสอบภายใน
VSPC ซึ่งบริษัทได้อธิบายว่าเป็น Remote managed BaaS (Backend as a Service) และ DRaaS (Disaster Recovery as a Service) ถูกใช้งานโดยผู้ให้บริการเพื่อตรวจสอบความสมบูรณ์ และความปลอดภัยของการสำรองข้อมูลของลูกค้า รวมถึงการจัดการ workload ที่ได้รับการป้องกันโดย Veeam ในระบบ Veeam-protected virtual, Microsoft 365 และ public cloud workloads
ช่องโหว่ด้านความปลอดภัยตัวแรกที่ได้รับการแก้ไขในวันนี้ (CVE-2024-42448 มีคะแนน CVSS 9.9/10) ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายบนเซิร์ฟเวอร์ที่ไม่ได้รับการอัปเดตจากเครื่อง VSPC management agent ได้
Veeam ยังได้แก้ไขช่องโหว่ที่มีระดับความรุนแรงสูง (CVE-2024-42449) ที่ทำให้ผู้โจมตีสามารถขโมย NTLM hash ของบัญชี service account ของเซิร์ฟเวอร์ VSPC และใช้การเข้าถึงที่ได้ เพื่อลบไฟล์บนเซิร์ฟเวอร์ VSPC ได้
อย่างไรก็ตาม ตามที่บริษัทได้อธิบายไว้ในคำแนะนำด้านความปลอดภัยที่เผยแพร่ในวันนี้ ช่องโหว่ทั้งสองรายการจะถูกโจมตีได้สำเร็จเฉพาะกรณีที่ management agent ได้รับการอนุญาตบนเซิร์ฟเวอร์เป้าหมายเท่านั้น
ช่องโหว่นี้ส่งผลกระทบต่อ VSPC เวอร์ชัน 8.1.0.21377 และเวอร์ชันก่อนหน้าทั้งหมด รวมถึงรุ่น 8 และ 7 แต่เวอร์ชันของผลิตภัณฑ์ที่ไม่ได้รับการสนับสนุนแล้ว ก็มีแนวโน้มที่จะได้รับผลกระทบเช่นกัน และควรถือว่ามีช่องโหว่แม้ว่าจะยังไม่ได้รับการทดสอบก็ตาม
Veeam ระบุว่า "ขอแนะนำให้ผู้ให้บริการที่ใช้ Veeam Service Provider Console เวอร์ชันที่ยังได้รับการสนับสนุน (เวอร์ชัน 7 และ 8) อัปเดตเป็น cumulative patch เวอร์ชันล่าสุด"
"ขอแนะนำให้ผู้ให้บริการที่ใช้เวอร์ชันที่ไม่ได้รับการสนับสนุนแล้วอัปเกรดเป็นเวอร์ชันล่าสุดของ Veeam Service Provider Console"
การโจมตีที่เกิดขึ้นกับช่องโหว่ของ Veeam ในช่วงที่ผ่านมาแสดงให้เห็นถึงความสำคัญของการติดตั้งแพตช์บนเซิร์ฟเวอร์ที่มีช่องโหว่โดยเร็วที่สุดเพื่อป้องกันการโจมตีที่อาจเกิดขึ้น
ในเดือนที่ผ่านมา ทีมตอบสนองต่อเหตุการณ์ของ Sophos X-Ops เปิดเผยว่า ช่องโหว่ RCE (CVE-2024-40711) ในซอฟต์แวร์ Backup & Replication (VBR) ของ Veeam ในเดือนกันยายน ขณะนี้กำลังถูกใช้โจมตีเพื่อแพร่กระจาย Frag ransomware
ช่องโหว่เดียวกันนี้ยังถูกใช้เพื่อรันโค้ดจากระยะไกลบนเซิร์ฟเวอร์ VBR ที่มีช่องโหว่ในการโจมตีด้วย Akira และ Fog ransomware ด้วยเช่นกัน
ที่มา : bleepingcomputer
You must be logged in to post a comment.