Vulnerabilità sui prodotti Veeam
Veeam Software ha corretto con una patch due vulnerabilità critiche (CVE-2022-26500, CVE-2022-26501) che interessano la soluzione Veeam Backup & Replication, che potrebbe essere sfruttata da aggressori non autenticati per eseguire in remoto codice dannoso.
Entrambe le vulnerabilità possono consentire agli aggressori di ottenere il potere di eseguire un RCE (Remote code execution), e ottenere così il controllo su un sistema vulnerabile.
Le specifiche delle vulnerabilità non sono state condivise, né dalla società né da Nikita Petrov, la ricercatrice di Positive Technologies che le ha scoperte e segnalate.
Cockpit CMS fixed three Unauth NoSQL Injections (CVE-2020-35846, CVE-2020-35847, CVE-2020-35848) found by our researcher Nikita Petrov.
These vulnerabilities allow to retrieve an admin's hash or change his password and then execute commands! pic.twitter.com/bGQpB41mFh
— PT SWARM (@ptswarm) January 12, 2021
Veeam ha semplicemente osservato che “Il Veeam Distribution Service (TCP 9380 per impostazione predefinita) consente agli utenti non autenticati di accedere alle funzioni API interne. Un utente malintenzionato in remoto può inviare input all’API interna che può portare al caricamento e all’esecuzione di codice dannoso”.
Veeam Backup & Replication v9.5, 10 e 11 sono interessati e sono state fornite patch per gli ultimi due.
La società sta esortando gli utenti del primo ad eseguire l’aggiornamento a una versione supportata.
Anche in Italia la CSIRT (Computer Security Incident Response Team) ha voluto sottolineare l’importanza della minaccia.
PromiGroup offre, a tal fine, i propri servizi tecnici di aggiornamento guidato, per garantire il successo dell’applicazione delle patch e chiudere la presente vulnerabilità.
Se le patch non possono essere implementate rapidamente, consigliamo agli amministratori di interrompere e disabilitare temporaneamente Veeam Distribution Service.
Oltre a correggere questi difetti, le stesse patch chiudono anche CVE-2022-26504, un altro buco RCE che interessa un componente utilizzato per l’integrazione di Microsoft System Center Virtual Machine Manager.
Fortunatamente gli exploit di queste vulnerabilità non sono ancora stati resi pubblici, ma potrebbero essere pubblicati in qualsiasi momento.
Preoccupato per le tue vulnerabilità?
Contatta oggi Promigroup per assicurarti che qualsiasi potenziale attività conflittuale nel tuo ambiente venga identificata e neutralizzata, prima che si verifichino danni.
-Ugo Bonanni
Marketing e Ecommerce PromiGroup