13402570474
Goto Top

RCE: Veeam erhält 9.8 CVE Score

... and so, this class of attackers absolutely loves to break this particular software.

.. bei Veeam gabs mal wieder einen 10er (9,8er) CVE-Score.

labs.watchtowr.com/veeam-backup-response-rce-with-auth-but-mostly-without-auth-cve-2024-40711-2/

Version			        Status
12.2.0.334			Fully patched. Not affected by the vulnerabilities in this blogpost.
12.1.2.172			Affected, but exploitation requires authentication. Low privilege users are able to execute arbitrary code.
12.1.1.56 and earlier		Vulnerable to unauthenticated RCE.

Schaut, dass Ihr up2date bleibt ;)

Gruß

Kudos: Sina Kheirkhah

Content-ID: 668054

Url: https://administrator.de/knowledge/rce-veeam-erhaelt-9-8-cve-score-668054.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

DerMaddin
DerMaddin 11.09.2024 um 16:15:59 Uhr
Goto Top
Moin,

der Artikel ist sch... lang und sehr technisch und ich habe die ganzen Code-Inhalte nicht verstanden. Unter welchen Voraussetzungen ist jetzt RCE möglich bzw. wie erfolgt der Angriff genau? Weißt du da was Genaueres?
14260433693
14260433693 11.09.2024 aktualisiert um 16:41:49 Uhr
Goto Top
Zitat von @DerMaddin:
Unter welchen Voraussetzungen ist jetzt RCE möglich
  • Version 12.1.2.172 nur mit Authentifizierung eines Users auch eines unprivilegierten.
  • Version 12.1.1.56 and earlier auch ohne Authentifizierung nur über das Ansprechen eines .NET Remoting Endpoints eines Servers
bzw. wie erfolgt der Angriff genau? Weißt du da was Genaueres?
Im groben und ganzen wird hier .NET Code in der DLL verwendet was es für Angreifer ziemlich leicht macht den Code zu dissassemblen und zu analysieren was die Programmierer verbockt haben. .NET Reflector macht das Decompiling z.B. sehr einfach.
Veeam verwendet hier einen .NET Remoting Server der bestimmte ihm geschickte Daten "deserialisiert" was bedeutet das aus Strings wieder .NET Objekte gemacht werden. Wenn du dem Server hier also bestimmte Daten (den "payload") übers Netzwerk schickst die der Server dann in Objekte umwandelt die er nicht genügend auf Gültigkeit geprüft hat können auf dem Server beliebige Befehle ausgeführt werden.
Je nach Version ist dafür eine vorherige Auth nötig oder eben nicht. Bei den älteren Versionen reicht also ein simpler Netzwerkzugriff zu der Veeam-Maschine aus um einen Angriff durchzuführen.

Gruß
DerMaddin
DerMaddin 12.09.2024 um 08:25:19 Uhr
Goto Top
Was genau für ein Netzwerkzugriff? Angenommen man kann den Server nicht direkt erreichen, da dieser isoliert ist. Also kein RDP und kein ADMIN$. Ebenso kein HTTP(S) oder andere Arten des direkten Zugriffs. Backup-Jobs laufen direkt über das SAN. Ist dann so ein Angriff auch möglich?
13402570474
13402570474 17.10.2024 um 09:05:03 Uhr
Goto Top
Sophos warnt vor Angriffen auf Veeam-Sicherheitslücke

https://www.heise.de/news/Ransomware-Sophos-warnt-vor-Angriffen-auf-Veea ...
DerMaddin
DerMaddin 17.10.2024 um 10:56:56 Uhr
Goto Top
Jupp und immer noch: Initialer Zugriff auf die betroffenen Netze gelangt demnach durch kompromittierte VPN-Gateways, die keine Mehr-Faktor-Authentifizierung aktiviert hatten.

Und wenn man schon im LAN ist und der Backup-Server von jedem Client/VLAN erreichbar, dann hat der Admin was falsch gemacht.