Platformlar arası istismar kodu artık Veeam'in yedekleme ve çoğaltma (VBR) yazılımını etkileyen yüksek şiddetli bir yedekleme hizmeti güvenlik açığı için kullanılabilir.
Kusur (CVE-2023-27532) tüm VBR sürümlerini etkiler ve açık metin kimlik bilgilerini çaldıktan ve sistem olarak uzaktan kod yürütülmesini sağladıktan sonra yedekleme altyapısını ihlal etmek için kimlik doğrulanmamış saldırganlar tarafından kullanılabilir.
Veeam, 7 Mart'ta VBR V11 ve V12 için bu güvenlik açığını ele almak için güvenlik güncellemeleri yayınladı ve eski sürümleri kullanan müşterilere desteklenmeyen sürümleri çalıştıran savunmasız cihazları güvence altına almak için yükseltme konusunda tavsiyelerde bulundu.
Şirket, "Bu güvenlik açığını azaltmak için V11 ve V12 için yamalar geliştirdik ve kurulumlarınızı hemen güncellemenizi öneririz."
Şirket ayrıca, saldırı vektörünü kaldırmak için yedekleme sunucusu güvenlik duvarını kullanarak Port TCP 9401'e harici bağlantıların engellenmesini gerektiren yamaları hemen dağıtamayan yöneticiler için geçici bir düzeltme paylaştı.
Veeam, VBR yazılımının Fortune 500 şirketlerinin% 82'si ve küresel 2.000'in% 72'si de dahil olmak üzere dünya çapında 450.000'den fazla müşteri tarafından kullanıldığını söylüyor.
Bugün, Veeam CVE-2023-27532 Yamaları yayınladıktan iki hafta sonra, Horizon3'ün saldırı ekibi bu yüksek şiddetli güvenlik açığı için teknik bir kök neden analizi yayınladı.
Ayrıca, teminatsız bir API uç noktasını kötüye kullanarak VBR yapılandırma veritabanından düz metnde kimlik bilgileri almasına izin veren platformlar arası kavram kanıtı (POC) istismar kodu yayınladılar.
Horizon3 güvenlik açığı araştırmacısı James Horseman, "POC'mizi .NET Core üzerine inşa edilen ve Linux üzerinde çalışabilen ve onu daha geniş bir kitle için erişilebilir hale getirebilen GitHub'da yayınladık." Dedi.
Diyerek şöyle devam etti: "Bu güvenlik açığının ciddiye alınması gerektiğini ve kuruluşunuzun güvenliğini sağlamak için mümkün olan en kısa sürede yamaların uygulanması gerektiğini belirtmek önemlidir."
Geçen hafta, Huntress Güvenlik Araştırmacıları, Silahlı Koçluk kimlik bilgilerini boşaltabilecek ve silahlandırılabilecek ek API çağrıları aracılığıyla keyfi kod yürütme sağlayabilen kendi POC istismarlarının bir video demosunu paylaştı.
"Kimlik doğrulanmamış kimlik bilgisi dökümü, yanal hareket veya sömürme sonrası için bir vektör görevi görürken, söz konusu kırılganlık da yetkili olmayan uzaktan kod yürütülmesi için de kullanılabilir-savunmasız Veeam örneğini başlangıç erişim veya daha fazla uzlaşma için bir vektöre dönüştürmek," Labs güvenlik araştırmacıları John Hammond açıkladı.
Ajan yazılımını çalıştıran 2 milyon uç noktadan Huntress, CVE-2023-27532 istismarına karşı savunmasız olan Veeam Backup ve Replication yazılımını çalıştıran 7.500'den fazla ana bilgisayar algıladığını söyledi.
Bu güvenlik açığından yararlanan tehdit aktörlerinin raporu olmamasına ve vahşi doğada sömürülme girişimi olmasa da, saldırganlar muhtemelen Horizon3 araştırmacıları tarafından internete maruz kalan Veeam sunucularını hedeflemek için yayınlanan POC koduna dayanarak kendi istismarlarını oluşturacaklar.
Hacker'ların yedekleme altyapısını ihlal etmesine izin veren veeam düzeltiyor
Microsoft Teams, Virtualbox, Tesla Zero-Days Pwn2Oown'da sömürüldü
CloudPanel Kurulumları Aynı SSL Sertifikası Özel Anahtarını kullanın
Netgear Orbi yönlendirici güvenlik açıkları için yayınlanan POC istismarları
Windows 11 Snipping Aracı Gizlilik Hatası Kırpılmış Görüntü İçeriğini Gösteriyor
Kaynak: Bleeping Computer