Kriittisiä haavoittuvuuksia Veeam ONE -ohjelmistossa
Haavoittuvuus26/2023CVSS 9.9CVE-2023-38547 (Ulkoinen linkki)
Veeam on ilmoittanut kahdesta kriittisestä haavoittuvuudesta Veeam ONE ohjelmistossa. Ensimmäinen haavoittuvuus (CVE-2023-38547) mahdollistaa koodin etäsuorittamiseen Veeam ONE -ohjelmiston asetustietokantanaan käyttämällä SQL-palvelimella. Toisessa haavoittuvuudessa (CVE-2023-38548) hyökkääjän on mahdollista saada käyttöönsä Veeam ONE -raportointipalvelussa käytetyn tilin NTLM-tiivisteen (hash). Haavoittuvat Veeam-versiot ovat Veeam ONE 11, 11a ja 12. Haavoittuvuuksiin on saatavilla korjaava päivitys.
Veeam ONE -ohjelmiston kriittisen haavoittuvuuden avulla kirjautumaton käyttäjä voi saada tietoja yhteydestä SQL-palvelimeen, jota Veeam ONE käyttää asetustietokantanaan. Tämä voi mahdollistaa koodin etäsuorittamisen asetustietokantapalvelimella ilman kirjautumista.
Toisessa kriittisessä haavoittuvuudessa Veeam ONE Web -palveluun kirjautuneen käyttäjän on mahdollista saada käyttöönsä Veeam ONE -raportointipalvelun käyttämän tilin NTLM-tiiviste.
Veeam on julkaissut korjaukset haavoittuvuuksiin.
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman kirjautumista
Vaikutukset
- Komentojen mielivaltainen suorittaminen
- Suojauksen ohittaminen
- Käyttövaltuuksien laajentaminen
- Luottamuksellisen tiedon hankkiminen
Hyväksikäyttömenetelmä tiedossa
- Ei julkaistu
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
Haavoittuvat Veeam versiot ovat Veeam ONE 11, 11a ja 12.
Mistä on kysymys?
Haavoittuvat versiot on korjattu seuraavissa versiossa:
Veeam ONE 12 P20230314 (12.0.1.2591)
Veeam ONE 11a (11.0.1.1880)
Veeam ONE 11 (11.0.0.1379)
Veeam on julkaissut kaksi muuta haavoittuvuutta, jotka voi korjata tällä samalla päivityksellä.
Veeam ONE kertoo haavoittuvuuden lisätietoja tiedotteessaan (Ulkoinen linkki).