Kritische Schwachstellen in der IT-Überwachungssoftware Veeam ONE aufgedeckt
Veeam hat Sicherheitsupdates veröffentlicht, um vier Schwachstellen in seiner IT-Überwachungs- und Analyseplattform ONE zu beheben. Zwei davon werden als kritisch eingestuft. Der sofortige Patch wird dringend empfohlen.
Veeam ONE, ein Bestandteil der Veeam Availability Suite, verspricht umfassende Transparenz für virtuelle Workloads, mit Veeam gesicherte Cloud-Workloads und physische Workloads. Die Monitoring-, Reporting- und Analysetools sollen Unternehmen die Automatisierung und Kontrolle bieten, die sie angeblich benötigen, um die Verfügbarkeit ihrer IT aufrechtzuerhalten. Nun wurde Veeam One selbst zum Einfallstor für Malware-Angriffe.
Die vier Schwachstellen im Einzelnen:
- CVE-2023-38547 (CVSS-Score: 9.9) – Ein nicht spezifizierter Fehler, der von einem nicht authentifizierten Benutzer ausgenutzt werden kann, um Informationen über die SQL-Serververbindung zu erhalten, die Veeam ONE für den Zugriff auf die Konfigurationsdatenbank verwendet, was zu Remotecodeausführung auf dem SQL-Server führt.
- CVE-2023-38548 (CVSS-Score: 9.8) – Eine Schwachstelle in Veeam ONE, die es einem nicht privilegierten Benutzer mit Zugriff auf den Veeam ONE Web Client ermöglicht, den NTLM-Hash des vom Veeam ONE Reporting Service verwendeten Kontos zu erhalten.
- CVE-2023-38549 (CVSS-Score: 4.5) – Eine Cross-Site-Scripting (XSS)-Schwachstelle, die es einem Benutzer mit der Rolle Veeam ONE Power User ermöglicht, das Zugriffstoken eines Benutzers mit der Rolle Veeam ONE Administrator zu erhalten.
- CVE-2023-41723 (CVSS-Score: 4.3) – Eine Sicherheitslücke in Veeam ONE, die es einem Benutzer mit der Rolle Veeam ONE Read-Only User ermöglicht, den Dashboard-Zeitplan einzusehen.
Während CVE-2023-38547, CVE-2023-38548 und CVE-2023-41723 die Veeam ONE-Versionen 11, 11a und 12 betreffen, betrifft CVE-2023-38548 nur Veeam ONE 12. Fixes für die Probleme sind in den folgenden Versionen verfügbar:
Veeam ONE 11 (11.0.0.1379)
Veeam ONE 11a (11.0.1.1880)
Veeam ONE 12 P20230314 (12.0.1.2591)
In den letzten Monaten haben Angreifer, darunter FIN7 und die BlackCat Ransomware-Gruppe, kritische Sicherheitslücken in der Veeam-Backup-Software ausgenutzt, um Malware zu verbreiten.
Für Benutzer, die die betroffenen Versionen verwenden, wird empfohlen, die Veeam ONE Monitoring- und Reporting-Dienste zu beenden, die vorhandenen Dateien durch die im Hotfix bereitgestellten Dateien zu ersetzen und die beiden Dienste neu zu starten.