stacktrace
Goto Top

RCE: Veeam erhält 9.8 CVE Score

... and so, this class of attackers absolutely loves to break this particular software.

.. bei Veeam gabs mal wieder einen 10er (9,8er) CVE-Score.

labs.watchtowr.com/veeam-backup-response-rce-with-auth-but-mostly-without-auth-cve-2024-40711-2/

Version			        Status
12.2.0.334			Fully patched. Not affected by the vulnerabilities in this blogpost.
12.1.2.172			Affected, but exploitation requires authentication. Low privilege users are able to execute arbitrary code.
12.1.1.56 and earlier		Vulnerable to unauthenticated RCE.

Schaut, dass Ihr up2date bleibt ;)

Gruß

Kudos: Sina Kheirkhah

Content-ID: 668054

Url: https://administrator.de/contentid/668054

Printed on: October 13, 2024 at 10:10 o'clock

DerMaddin
DerMaddin Sep 11, 2024 at 14:15:59 (UTC)
Goto Top
Moin,

der Artikel ist sch... lang und sehr technisch und ich habe die ganzen Code-Inhalte nicht verstanden. Unter welchen Voraussetzungen ist jetzt RCE möglich bzw. wie erfolgt der Angriff genau? Weißt du da was Genaueres?
14260433693
14260433693 Sep 11, 2024 updated at 14:41:49 (UTC)
Goto Top
Zitat von @DerMaddin:
Unter welchen Voraussetzungen ist jetzt RCE möglich
  • Version 12.1.2.172 nur mit Authentifizierung eines Users auch eines unprivilegierten.
  • Version 12.1.1.56 and earlier auch ohne Authentifizierung nur über das Ansprechen eines .NET Remoting Endpoints eines Servers
bzw. wie erfolgt der Angriff genau? Weißt du da was Genaueres?
Im groben und ganzen wird hier .NET Code in der DLL verwendet was es für Angreifer ziemlich leicht macht den Code zu dissassemblen und zu analysieren was die Programmierer verbockt haben. .NET Reflector macht das Decompiling z.B. sehr einfach.
Veeam verwendet hier einen .NET Remoting Server der bestimmte ihm geschickte Daten "deserialisiert" was bedeutet das aus Strings wieder .NET Objekte gemacht werden. Wenn du dem Server hier also bestimmte Daten (den "payload") übers Netzwerk schickst die der Server dann in Objekte umwandelt die er nicht genügend auf Gültigkeit geprüft hat können auf dem Server beliebige Befehle ausgeführt werden.
Je nach Version ist dafür eine vorherige Auth nötig oder eben nicht. Bei den älteren Versionen reicht also ein simpler Netzwerkzugriff zu der Veeam-Maschine aus um einen Angriff durchzuführen.

Gruß
DerMaddin
DerMaddin Sep 12, 2024 at 06:25:19 (UTC)
Goto Top
Was genau für ein Netzwerkzugriff? Angenommen man kann den Server nicht direkt erreichen, da dieser isoliert ist. Also kein RDP und kein ADMIN$. Ebenso kein HTTP(S) oder andere Arten des direkten Zugriffs. Backup-Jobs laufen direkt über das SAN. Ist dann so ein Angriff auch möglich?