Datos Respaldo y nubes La empresa de gestión de datos Veeam dijo que ha lanzado varios parches que corrigen más de una docena de vulnerabilidades que afectan a varios productos. En un aviso de seguridad publicado a principios de esta semana, Veeam dijo que había solucionado un total de 18 vulnerabilidades, cinco de las cuales se consideraron extremadamente críticas.
La primera es una vulnerabilidad de ejecución remota de código no autenticado que se encontró en Veeam Backup & Replication. Tiene un seguimiento como CVE-2024-40711 y tiene una puntuación de gravedad de 9,8. El segundo y tercer error se encontraron en Veeam ONE. CVE-2024-42024, con gravedad 9.1, permite a los actores de amenazas con credenciales de cuenta de servicio proxy activar la ejecución remota de código.
CVE-2024-42019, por otro lado, tiene una puntuación de gravedad ligeramente inferior (9,0) y permite a los actores de amenazas acceder al hash NTLM de la cuenta de Veeam Reporter Service.
Versiones seguras
Luego hay una vulnerabilidad crítica de nivel 9.9 en la consola del proveedor de servicios Veeam, que otorga a atacantes privilegiados limitados acceso al hash NTLM de la cuenta de servicio en el servidor. Esta vulnerabilidad ha sido rastreada como CVE-2024-38650. Finalmente, CVE-2024-39714, también una vulnerabilidad de nivel 9.9, se encontró en el mismo software y brinda a los usuarios con privilegios limitados la posibilidad de descargar archivos arbitrarios.
Las otras 13 fallas son en su mayoría de alta gravedad, lo que permite eludir la autenticación multifactor (MFA), la escalada de privilegios, la ejecución remota de código (RCE) y más.
Para garantizar la seguridad de su infraestructura, se recomienda a los usuarios actualizar su software a las siguientes versiones:
- Veeam Backup & Replication 12.2 (versión 12.2.0.334)
- Veeam Agent para Linux 6.2 (versión 6.2.0.101)
- Veeam ONE v12.2 (versión 12.2.0.4093)
- Consola de proveedor de servicios Veeam v8.1 (versión 8.1.0.21377)
- Veeam Backup para el complemento Nutanix AHV v12.6.0.632
- Veeam Backup para Oracle Linux Virtualization Manager y el complemento de virtualización de Red Hat v12.5.0.299
a través de Noticias de piratas informáticos