13402570474
11.09.2024, aktualisiert um 14:38:31 Uhr
1354
5
1
RCE: Veeam erhält 9.8 CVE Score
... and so, this class of attackers absolutely loves to break this particular software.
.. bei Veeam gabs mal wieder einen 10er (9,8er) CVE-Score.
labs.watchtowr.com/veeam-backup-response-rce-with-auth-but-mostly-without-auth-cve-2024-40711-2/
Schaut, dass Ihr up2date bleibt ;)
Gruß
Kudos: Sina Kheirkhah
.. bei Veeam gabs mal wieder einen 10er (9,8er) CVE-Score.
labs.watchtowr.com/veeam-backup-response-rce-with-auth-but-mostly-without-auth-cve-2024-40711-2/
Version Status
12.2.0.334 Fully patched. Not affected by the vulnerabilities in this blogpost.
12.1.2.172 Affected, but exploitation requires authentication. Low privilege users are able to execute arbitrary code.
12.1.1.56 and earlier Vulnerable to unauthenticated RCE.Schaut, dass Ihr up2date bleibt ;)
Gruß
Kudos: Sina Kheirkhah
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668054
Url: https://administrator.de/contentid/668054
Ausgedruckt am: 21.11.2024 um 16:11 Uhr
5 Kommentare
Neuester Kommentar
Moin,
der Artikel ist sch... lang und sehr technisch und ich habe die ganzen Code-Inhalte nicht verstanden. Unter welchen Voraussetzungen ist jetzt RCE möglich bzw. wie erfolgt der Angriff genau? Weißt du da was Genaueres?
der Artikel ist sch... lang und sehr technisch und ich habe die ganzen Code-Inhalte nicht verstanden. Unter welchen Voraussetzungen ist jetzt RCE möglich bzw. wie erfolgt der Angriff genau? Weißt du da was Genaueres?
- Version 12.1.2.172 nur mit Authentifizierung eines Users auch eines unprivilegierten.
- Version 12.1.1.56 and earlier auch ohne Authentifizierung nur über das Ansprechen eines .NET Remoting Endpoints eines Servers
bzw. wie erfolgt der Angriff genau? Weißt du da was Genaueres?
Im groben und ganzen wird hier .NET Code in der DLL verwendet was es für Angreifer ziemlich leicht macht den Code zu dissassemblen und zu analysieren was die Programmierer verbockt haben. .NET Reflector macht das Decompiling z.B. sehr einfach.Veeam verwendet hier einen .NET Remoting Server der bestimmte ihm geschickte Daten "deserialisiert" was bedeutet das aus Strings wieder .NET Objekte gemacht werden. Wenn du dem Server hier also bestimmte Daten (den "payload") übers Netzwerk schickst die der Server dann in Objekte umwandelt die er nicht genügend auf Gültigkeit geprüft hat können auf dem Server beliebige Befehle ausgeführt werden.
Je nach Version ist dafür eine vorherige Auth nötig oder eben nicht. Bei den älteren Versionen reicht also ein simpler Netzwerkzugriff zu der Veeam-Maschine aus um einen Angriff durchzuführen.
Gruß
Was genau für ein Netzwerkzugriff? Angenommen man kann den Server nicht direkt erreichen, da dieser isoliert ist. Also kein RDP und kein ADMIN$. Ebenso kein HTTP(S) oder andere Arten des direkten Zugriffs. Backup-Jobs laufen direkt über das SAN. Ist dann so ein Angriff auch möglich?
Sophos warnt vor Angriffen auf Veeam-Sicherheitslücke
https://www.heise.de/news/Ransomware-Sophos-warnt-vor-Angriffen-auf-Veea ...
https://www.heise.de/news/Ransomware-Sophos-warnt-vor-Angriffen-auf-Veea ...
Jupp und immer noch: Initialer Zugriff auf die betroffenen Netze gelangt demnach durch kompromittierte VPN-Gateways, die keine Mehr-Faktor-Authentifizierung aktiviert hatten.
Und wenn man schon im LAN ist und der Backup-Server von jedem Client/VLAN erreichbar, dann hat der Admin was falsch gemacht.
Und wenn man schon im LAN ist und der Backup-Server von jedem Client/VLAN erreichbar, dann hat der Admin was falsch gemacht.
