Veeam fixt kritische Schwachstelle CVE-2023-27532 in Backup & Replication V11a/V12

Amazon[English]Kleiner Hinweis für Nutzer der Backup-Software des Herstellers Veeam. Dieser hat zum 7. März 2023 eine kritische Schwachstelle (CVE-2023-27532) in seinem Produkt Backup & Replication in den Versionen V11a/V12 per Update behoben. Die Aktualisierung über ein kumulatives Update sollte zeitnah eingespielt werden. Update: Es gibt jetzt einen Exploit, Ausnutzung bald wahrscheinlich.


Anzeige

Veeam Backup & Replication

Veeam ist ein Anbieter von Backup- und Replikations-Software für bare metal und virtuelle Maschinen. Veeam Backup & Replication ist eine proprietäre Backup-Anwendung, die von Veeam für virtuelle Umgebungen entwickelt wurde, die auf VMware vSphere-, Nutanix AHV- und Microsoft Hyper-V-Hypervisoren basieren. Die Software bietet Sicherungs-, Wiederherstellungs- und Replikationsfunktionen für virtuelle Maschinen, physische Server und Workstations sowie für Cloud-basierte Workloads.

Hinweis auf Schwachstelle

Blog-Leser Wolfgang F. hat mich heute per E-Mail über den Sachverhalt informiert (danke dafür) und schrieb mir bezüglich der Schwachstelle in Veeam Backup & Replication V11a/V12.

Guten Tag Herr Born,

ich bin jetzt etwas unsicher, ob dies auch in Ihren Blog-Themenblock passt, aber ansonsten einfach nur zur Kenntnisnahme für Sie.

Diese Nachricht hat mich gestern von Veeam erreicht, einer oder vermutlich der führende Hersteller von Backupsoftware zumindest für Virtuelle Infrastrukturen.

Die Mail ist vermutlich valide, die Links führen auf die korrekten Veeam-Seiten und die SHA-Werte des Downloads passen auch.

Daher gehe ich von einer validen Meldung aus.

Update habe ich für meine Version 11 implementiert, bisher keine Probleme.

Wolfgang hat dann noch einen Link auf den Veeam Support-Beitrag kb4245 (Release Information for Veeam Backup & Replication 11a Cumulative Patches) mitgegeben, der sich mit den kumulativen Updates für die genannte Software befasst. Mit der letzten Änderung vom 7. März 2023 wurden folgende Informationen – die ich aus verschiedenen Quellen herausgezogen habe – veröffentlicht:

P20230227: Vulnerability (CVE-2023-27532) in Veeam Backup Service was fixed.

Vulnerability CVE-2023-27532 in Veeam Backup & Replication component allows to obtain encrypted credentials stored in the configuration database. This may lead to gaining access to the backup infrastructure hosts.

Severity: High
CVSS v3 score: 7.5

Die Sicherheitslücke CVE-2023-27532 in Veeam Backup & Replication ermöglicht Dritten Zugriff auf verschlüsselte Anmeldedaten in der Konfigurationsdatenbank. Dies kann Angreifern Zugang zu den Hosts der Backup-Infrastruktur verschaffen. In der Veeam-Community findet sich dazu ebenfalls ein Beitrag Vulnerability in Veeam Backup & Replication – March 2023. Relevant sind folgende Informationen und Links:


Anzeige

Für Nutzer, die den Patch nicht sofort installieren können, findet sich folgender Workaround im Community-Beitrag:

As a temporary workaround you can block access to TCP port 9401 on your Veeam Backup & Replication server. This will affect the connection of mount servers to the VBR server, so only use this if you don't have a distributed Veeam environment. And still apply the patch as soon as possible.

Wer kürzlich die kumulativen Patches V11 oder V12 installiert hat, sollte das für die Installation verwendete ISO-Image überprüfen. Die Builds 20230227 (V11) und 20230223 (V12) enthalten bereits die Patches und sind daher nicht mehr anfällig.

Exploit bekannt, Angriffe eine Frage der Zeit

Ergänzung: Zum 10. März 2023 bin ich auf nachfolgenden Tweet gestoßen – ein Sicherheitsforscher hat einen Exploit entwickelt – es dürften bald erste Angriffe stattfinden.

Exploit for CVE-2023-27532 in Veeam Backup & Replication


Anzeige

Dieser Beitrag wurde unter Backup, Sicherheit, Software, Update abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Veeam fixt kritische Schwachstelle CVE-2023-27532 in Backup & Replication V11a/V12

  1. BE-IT Stefan sagt:

    Das bei Veeam so geschlampt wird ist mir immer noch ein Rätsel.
    Ein Bekannter, welcher selbst Softwareentwickler ist und einige Kunden betreut, hat damals die Lücke in Veeam 11 /Agent 5.0.2 gefunden, wo man aus der LocalDB sämtliche Passwörter mittels Takeownership aus der MDF unter Programmdata auslesen konnte. Witz an der Sache war, dass Veeam das Skript zum Passwörter entschlüsseln dann noch selbst in der KB angeboten hat.
    Wer da "quick an dirty" Domänenbenutzer verwendet hatte und der Backupserver in der Domäne war, hatte den Joker und stand sofort mit heruntergelassenen Hosen da.
    Zu aller Enttäuschung waren, auch alle mit Backupserver betroffen, die kein Domänenmitglied waren, da man dann eben das lokale Kennwort des Backupservers aus der Localdb des Agent auslesen konnte und dann mit dem selben Skript vom Backupserver aus die Domänenzugangsdaten auslesen konnte.

    • Blubmann sagt:

      Naja es spiegelt das wieder, was ich als Admin jeden Tag sehe. Wir sind nur noch die Feuerwehr für irgendwelche Softwarebugs-/fehler/-lücken, die durch ein Workaround gefixt werden müssen. Oder anders gesagt, gefühlt wird immer schlampiger und ineffizienter programmiert. Es wird sich keine Gedanken mehr gemacht wie viel Ressourcen das Programm frisst, weil ja eh genug vorhanden ist….

    • Peter sagt:

      Naja, fängt ja schon bei Microsoft an. Die meinen, dass jeder der auf einen Rechner zugreifen darf auch berechtigt ist zu administrieren.
      WindowsUpdate samt Reboot ist auf einem WinServer ja erstmal erlaubt.
      Auch Adobe ist hier super, wenn man im AdobeReader als normaler User die Diagnose mit anschliessenden Reboot auf einem TerminalServer triggert.
      Hier hat sich Software speziell unter Windows extrem schlecht entwickelt, da man bei der Installation als Admin schnell übersieht, was der User über irgendwelche Services an Rechten ausüben kann.

  2. Daniel sagt:

    wir haben 2 Tage zuvor das Update auf Veeam12 gemacht. Sind am Dienstag 07.03 von Veeam über die Sicherheitslücke Informiert worden.

    Im Microsoft 365 Defender wird uns die Schwachstelle bis heute nicht angezeigt. Obwohl er die installierte Veeam 12 Version erkannt hat.

    Die taucht da gar nicht auf.

  3. McAlex777 sagt:

    Danke für den Hinweis.

  4. Mika sagt:

    2,4 GB? Ernsthaft? ZWEI KOMMA VIER? Für einen Patch?

  5. RogerH sagt:

    Das sind keine Patches, sondern cumulative Updates und für die v12 ist das gerade mal 122Mb gross, das für die v11a enthält halt mehrere Patches die seit November 2021 veröffentlicht wurden und ist entsprechend umfangreicher. Das würde übrigens in den KB Artikeln drin stehen ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.