Veeam Sicherheitslücken behoben – Codeschmuggel möglich

Angreifer waren in der Lage, aus der Ferne Dateien zu löschen, die Authentifizierung zu verändern und ihre Berechtigungen auszuweiten. Sicherheitsupdates sind jetzt verfügbar. Mehrere Produkte des Backup-Anbieters Veeam waren von teilweise schwerwiegenden Sicherheitslücken betroffen, die der Hersteller nun behoben hat und in seinem monatlichen Sicherheitsbericht bekanntgab. Zu den Schwachstellen gehören auch solche, die es Angreifern und Ransomware-Gruppen ermöglichen, auf Backups und Server zuzugreifen.

Eine schwerwiegende Sicherheitslücke (CVE-2024-40711, CVSS 9,8) in „Veeam Backup & Replication“ ermöglicht es Angreifern ohne Benutzerkonto, aus der Ferne eigenen Code auszuführen (Remote Code Execution, RCE). Veeam hat keine Details zu dieser Schwachstelle oder den anderen Fehlern offengelegt und äußert sich auch nicht zur möglichen aktiven Ausnutzung. Weitere Schwachstellen mit hohem Schweregrad in Backup & Replication erlauben es authentifizierten Angreifern, die Multi-Faktor-Authentifizierung zu umgehen (CVE-2024-40713, CVSS 8,8), Code auszuführen und Informationen preiszugeben (CVE-2024-40710, CVSS 8,8), Dateien zu löschen (CVE-2024-39718, CVSS 8,1), Nutzer-Credentials abzufangen (CVE-2024-40714, CVSS 8,3) und lokale Privilegien auszuweiten (CVE-2024-40712, CVSS 7,8).

Die Sicherheitslücken betreffen alle Versionen der 12er-Reihe bis einschließlich 12.1.2.172 und wurden in Version 12.2.0.334 behoben.

Die Monitoring-Software Veeam One enthält eine „ungeplante Wartungsschnittstelle“, was auf eine RCE-Schwachstelle hindeutet, sowie weitere Fehler. Zwei dieser Sicherheitslücken, der RCE-Fehler CVE-2024-42024 (CVSS 9,1) und eine Schwachstelle, die den Zugriff auf lokale NTLM-Hashes ermöglicht (CVE-2024-42019, CVSS 9,0), werden als kritisch eingestuft.

Weitere schwerwiegende Schwachstellen in Veeam One erlauben die Ausführung von Code mit Administratorrechten (CVE-2024-42023, CVSS 8,8), das Auslesen von Zugangsdaten (CVE-2024-42021, CVSS 7,5), die Manipulation von Konfigurationsdateien (CVE-2024-42022, CVSS 7,5) und HTML-Injection (CVE-2024-42020, CVSS 7,3).

Alle Versionen der 12er-Serie bis einschließlich Veeam One 12.1.0.3208 sind betroffen. In Version 12.2.0.4093 wurden die Sicherheitslücken behoben.

Auch in der Service Provider Console (VSPC) gibt es erhebliche Sicherheitsprobleme, darunter zwei kritische Schwachstellen mit einem fast perfekten CVSS-Wert von 9,9. Diese Lücken umfassen CVE-2024-38650, die es einem angemeldeten Angreifer ermöglicht, den NTLM-Hash des VSPC-Kontos zu erlangen, sowie CVE-2024-39714, eine Datei-Upload-Schwachstelle, die Angreifern mit geringen Rechten erlaubt, über unrechtmäßig hochgeladene Dateien eigenen Code auszuführen.

Benutzer mit einem VSPC-Konto können außerdem beliebige Dateien hochladen oder überschreiben, was zu zwei weiteren RCE-Schwachstellen mit hohem Schweregrad führt, die unter den CVE-IDs CVE-2024-39715 (CVSS 8,5, Voraussetzung: REST-API-Zugriff) und CVE-2024-38651 (CVSS 8,5) registriert sind.

Laut Veeams Sicherheitshinweis sind diese Schwachstellen in Version 8 bis einschließlich 8.1.0.21377 enthalten, jedoch auch in dieser Version bereits behoben. Veeam klärt diesen Widerspruch nicht auf, es ist jedoch anzunehmen, dass das Update die Probleme tatsächlich beseitigt.

Im Veeam-Linux-Client der Version 6 wurde ein Fehler entdeckt, der eine lokale Erhöhung von Benutzerrechten (LPE) ermöglicht. Diese Sicherheitslücke ist unter der CVE-ID CVE-2024-40709 registriert und weist mit einem CVSS-Score von 7,8 eine hohe Kritikalität auf. Angreifer, die über ein Benutzerkonto auf dem betroffenen System verfügen, können ihre Rechte auf das Systemkonto „root“ ausweiten. Die Schwachstelle wurde in der Version 6.2.0.101 des Linux-Agents behoben.

Auch in den Backup-Lösungen für Nutanix, Oracle Linux Virtualization Manager und Red Hat Virtualization entdeckten Veeam-Sicherheitsexperten bei internen Tests einen schwerwiegenden Fehler, der durch eine SSRF-Attacke (Server-Side Request Forgery) eine Erhöhung von Benutzerrechten ermöglichte. Die Schwachstelle mit der CVE-ID CVE-2024-40718 ist in Version 12.5.1.8 des Nutanix AHV-Plugins sowie in Version 12.4.1.45 des Oracle/Red-Hat-Plugins und allen früheren Versionen der 12er-Hauptreihe vorhanden. Um das Problem zu beheben, müssen Administratoren auf Veeam Backup & Replication 12.2 aktualisieren, wodurch die Plugins auf v12.6.0.632 (Nutanix) bzw. 12.5.0.299 (Oracle / Red Hat) aktualisiert werden.

Administrator*innen sollten in jedem Fall schnell handeln. Auch wenn Veeam keine Warnung vor Proof-of-Concept-Exploits oder einer möglichen Ausnutzung durch Cyberkriminelle veröffentlicht hat, stellen die Schwachstellen eine ernsthafte Bedrohung für die Integrität der Backups dar – was im Fall eines Ransomware-Angriffs schwerwiegende Folgen haben könnte.