[English]Ich stelle das Thema mal im Blog ein, falls Veeam-Nutzer es noch nicht mitbekommen haben. Im Veeam Service Provider Console 8.1.0.21377 (und früheren Versionen) gibt es kritische Schwachstellen (CVSS 3.1 Score 9.9), die sich remote ausnutzen und für Codeausführung oder zum Löschen von Dateien ausnutzen lassen.
Anzeige
Veeam CVE-2024-42448, CVE-2024-42449
Der Anbieter von Backup-Lösungen, Veeam, hat zum 3. Dezember 2024 einen Sicherheitshinweis Veeam Service Provider Console Vulnerabilities (CVE-2024-42448 | CVE-2024-42449) veröffentlicht, der am 4. Dezember 2024 aktualisiert wurde. In der Veeam Service Provider Console 8.1.0.21377 und alle früheren Builds der Versionen 8 und 7 wurden bei internen Tests zwei kritische Schwachstellen gefunden.
- CVE-2024-42448: Die als kritisch eingestufte Schwachstelle (CVSS 3.1 Score 9.9) ermöglicht unter der Voraussetzung, dass der Verwaltungsagent auf dem Server autorisiert ist, vom VSPC-Verwaltungsagenten aus eine Remote Code Execution (RCE) auf dem VSPC-Server durchzuführen.
- CVE-2024-42449: Diese mit dem Schweregrad hoch eingestufte Schwachstelle (CVSS 3.1 Score 7.1) ermöglicht vom VSPC-Verwaltungsagenten-Rechner aus (sofern der Verwaltungsagent auf dem Server autorisiert ist), einen NTLM-Hash des VSPC-Server-Dienstkontos auszuspähen und Dateien auf dem VSPC-Server-Rechner zu löschen.
Die obigen Schwachstellen wurden mit der Veeam Service Provider Console 8.1.0.21999 behoben. Kunden sollten unverzüglich auf diese Version aktualisieren.
Über 140.000 Instanzen gefunden
Ich bin durch folgenden Tweet der Hunter-Sicherheitsforscher auf den Sachverhalt gestoßen. Im Tweet weisen die Sicherheitsforscher darauf hin, dass jährlich über 143.000 Instanzen dieses Dienstes (Veeam Service Provider Console) jährlich gefunden werden. Werden die Instanzen gefunden, sind diese per Internet erreichbar.
Anzeige
Es gibt also Grund zur Annahme, dass eine Menge Installationen der Veeam Service Provider Console noch nicht aktualisiert wurden und somit über die Schwachstellen angegriffen werden können. Falls jemand aus der Leserschaft die Veeam Service Provider Console im Einsatz hat, sollte diese aktualisiert werden. Oder ist das breit bekannt und inzwischen berücksichtigt?
Anzeige
Mich verwundert bei solchen Meldungen primär wie man auf die Idee kommt eine wie auch immer geartete Backup Instanz so einzurichten, dass sie öffentlich übers Netz erreichbar ist. Sehr schräg! Und es lässt vermuten, dass da noch anderer "Wahnsinn" lauert…
Das denke ich mir auch bei den VMware vSphere Instanzen die übers Internet erreichbar sind. Wobei da gibt es vieles was einfach nicht ins Internet gehört (gerade wenn es um Verwaltungsoberflächen geht).
Aber, aber. Das ist doch schön praktisch. Vor allem für ungebetene Gäste. Und Cloud ist völlig sicher, zudem macht das jeder usw. usf.
das ist ein Missverständnis, hier geht's um ein Service Provider Modul, also für CloudDienstleister. Natürlich stellst du das erreichbar, heißt aber nicht, dass man da nicht noch eine WAF dazwischen schaltet und/oder IP WhiteListing.
Nicht nur, auch VBR selbst hat in allen Versionen bevor 12.3.0.310 kritsche Lücken wie zB; A vulnerability allows an authenticated user with a role assigned in the Users and Roles settings on the backup server to access all saved credentials in a human-readable format. https://www.veeam.com/kb4693 Und wenn DB auf MS SQL läuft schlägt es beim ersten Upgrade fehl da versucht wird Postgre zu installieren, beim 2nd run funktioniert es dann. Beim 1st run 7 Steps beim 2ten nur 6 Steps.
Moin,
ich habe mich auch über Step 1 of 7 "Installing PostgreSQL server 15.10-1…" :D
Vorher im Step noch die Datenbank ausgewählt, dachte ich, ehm doch etwas falsches ausgwählt 😅
MfG,
Blackii
Der Postgres wird in jedem Fall zusätzlich installiert, da die neue Funktion "Entra-ID Backup" nur darauf läuft. Veeam empfiehlt sowieso von MSSQL auf Postgres zu migrieren, da wohl mit der nächsten Hauptversion 13 der Support für MS-SQL wegfallen wird.
Schade, dass man das nur aus dem Forum erfährt und nicht aus den Release-Notes.
Ja, ist schon ein paar Tage "alt". Danke.
Service Provider Console ist das eine, schlimmer sind die Sicherheitslücken in dem viel verbreiterten Veeam Backup & Replication , die jetzt gepatcht werden müssen.
Diese Sicherheitslücke betrifft B&R doch nicht? Folgendes steht im KB:
This vulnerability does not affect other Veeam products (e.g., Veeam Backup & Replication, Veeam Agent for Microsoft Windows, Veeam ONE).
OMG
https://www.veeam.com/kb4693
Schon der zweite der sich an dem KB hochzieht.
Erstens hat Veeam das selbst gefunden und dann ausnutzbar durch User, die eh schon Zugriff haben. Ja schön ist es nicht, aber nicht "OMG".
Die meisten Fehler finden die Hersteller selbst, und bekommen dann nichtmal eine CVE-Nummer. Ja, man *kann* sich da zurück lehnen und denken, mir kann ja nix passieren, denn ich bin besonders schlau.
Nun, lass es halt ungepatcht und warte. Ein CVE Score von 8.8 kann man problemlos ignorieren.
Ohje, was ist da wieder unterwegs? Bin gefühlt gerade erst fertig geworden, alle Kunden auf 12.2 zu aktualisieren… sollte man die 12.3 jetzt auch sofort wieder einspielen?
wenn du die cve siehst, dann denke ich gibts nur ein ja , als Antwort.
Wir können uns da etwas Zeit lassen.
Unser B&R Server ist abgeschottet und nicht in der Domäne. Es gibt da auch keine "authenticated users" mit eingeschränkten Rechten, welche sich durch diese Lücken höhere Rechte holen könnten. ;-)
Sagt einem ja sogar die Konsole als BestPractice.
Aber anscheinend schauen die Leute da nicht drauf und wundern sich später.
Mich wundert immer wieder, wie viel Inkompetenz in den Unternehmen angehäuft ist. Letzte Nachricht: "Wir machen künftig Security mit Microsoft, weil die führend sind". Ja führend in Hauptschlüssel für die Cloud zu exponieren und führend in Security zu verkacken. Da willste doch nicht wirklich arbeiten, solange Du noch Hirn in der Birne hast.
BTW Backup ohne echtes Airgap ist kein Backup. Da akzeptiere ich auch kein "ja, aber".
Wie groß müßte der airgep bei einem Atomschlag ca sein?
Rechenzentrum in der Antarktis oder in der Mondumlaufbahn wäre mein Vorschlag.
Die Absicherung gegen einen Atomschlag gehört im zivilen Bereich nicht zum Pflichtenheft eines Backups.
Davon ab genügt bereits ein Standort 50km vom Einschlagsort entfernt.
Aber darüber müssen wir uns wenig Sorgen machen: Einem Atomschlag wird sinnvoller Weise ein EMP-Schlag unmittelbar vorausgehen und dann fehlt es eh an betriebstüchtiger Hardware, und zwar weit grossflächiger.
nach nem Atomschlag brauchst kein Backup mehr ;-P danach fängst wieder mit Steinplatten und Meisel an deine Daten zu sichern…
Der Kalte Krieg ist zwar vorbei, aber die Automatismen greifen da immer noch.