Productos Veeam

Vulnerabilidad crítica

Productos Veeam 27/03/2023

Desde AndalucíaCERT les informamos que la empresa Veeam ha liberado parches de seguridad para corregir diversas vulnerabilidades críticas en su producto Veeam Backup & Replication.

Nos gustaría destacar las vulnerabilidades con referencia CVE-2023-26500 / CVE-2023-26501 y CVE-2023-27532, con una puntuación de 9.8 y 7.5 respectivamente en la escala CVSSv3.

Desde AndalucíaCERT debemos indicarles que estas vulnerabilidades están siendo activamente explotadas por los cibercriminales.

CVE-2023-26500 y CVE-2023-26501: Ambas vulnerabilidades permiten a atacantes remotos no autenticados acceder a las funciones internas de la API y enviar entradas maliciosas a estas funciones a través del servicio de distribución de Veeam.

Versiones afectadas:

9.5
Versiones de la rama 10 previas a la versión 10a (build 10.0.1.4854 P20220304)
Versiones de la rama 11 previas a la versión 11a (build 11.0.1.1261 P20220302)

NOTA: Todas las implementaciones nuevas de Veeam Backup & Replication versión 11a y 10a instaladas con las imágenes ISO con fecha 20220302 o posterior no son vulnerables.

Como medida de mitigación temporal se recomienda detener y deshabilitar el servicio de distribución de Veeam.

CVE-2023-27532: Esta vulnerabilidad permite a un atacante acceder al servicio de copias de seguridad y obtener credenciales del sistema. La obtención de credenciales podría, en última instancia, permitir a los atacantes obtener acceso a los hosts de la infraestructura de respaldo.

Versiones afectadas:

Versiones de la rama 11 previas a la versión 11a (build 11.0.1.1261 P20230227).
Versiones de la rama 12 previas a la versión 12 (build 12.0.0.1420 P20230223).

Como medida de mitigación, si utiliza un dispositivo Veeam "todo en uno" sin componentes de infraestructura de copia de seguridad remota, pueden bloquear las conexiones externas hacia el puerto TCP 9401 en el firewall del servidor como solución temporal hasta que se instale el parche.

Debido al riesgo potencial que presentan estas vulnerabilidades, desde AndalucíaCERT se recomienda:

Actualizar los sistemas siguiendo las indicaciones que proporciona el fabricante.

Pueden encontrar más información en los siguientes enlaces:

Veeam (CVE-2022-26500 y CVE-2022-26501): https://www.veeam.com/kb4288
Veeam (CVE-2023-27532) : https://www.veeam.com/kb4424

Si tuviesen alguna duda al respecto no duden en ponerse en contacto con nuestro equipo.