Patch din Veeam Backup Enterprise med det samme

2024-06-10

I maj måned frigav Veeam en kritisk sikkerhedsopdatering der fjerner en svaghed i Veeam Backup Enterprise Manager (VBEM) som kunne muliggøre at opnå adgang til ikke opdaterede systemer ved at omgå authenfikation og dermed opnå kontrol over backup løsningen.

Sårbarheden er relateret til CVE-ID: CVE-2024-29849 og opnår en CVSS score på 9.8.

Der er nu frigivet et fuldt funktionelt exploit, der gør det nemt for ondsindede personer via et sårbart REST API i Veeam Backup Enterprise Manager (VBEM), at logge ind på serveren, uden brug af validt brugernavn og password.

Det man skal gøre med det samme er, at tilsikre, at Veeam servere er opdateret og kører med version 12.1.2.172. 

Fejlen befinder sig teknisk set i "Veeam.Backup.Enterprise.RestAPIService.exe" og det tilknyttede REST API der lytter på TCP port 9398. Sårbarheden kan misbruges ved at sende en særligt udformet VMware single-sign-on (SSO) token, som fejlagtigt ikke valideres tilstrækkeligt.

Check din Veeam back med det samme
Man kan til enhver tid validere hvilken version af Veeam Backup Enterprise Manager (VBEM) ved at køre følgende powershell kommando:

Get-VBRServer | Out-Null
[Veeam.Backup.Core.SBackupOptions]::GetEnterpriseServerInfo() | Format-List

Exploit kode og yderligere detaljerede oplysninger kan findes her:
https://summoning.team/blog/veeam-enterprise-manager-cve-2024-29849-auth-bypass/

Yderligere oplysninger:
https://www.veeam.com/kb4581