13402570474
11.09.2024, aktualisiert um 14:38:31 Uhr
1849
5
1
RCE: Veeam erhält 9.8 CVE Score
... and so, this class of attackers absolutely loves to break this particular software.
.. bei Veeam gabs mal wieder einen 10er (9,8er) CVE-Score.
labs.watchtowr.com/veeam-backup-response-rce-with-auth-but-mostly-without-auth-cve-2024-40711-2/
Schaut, dass Ihr up2date bleibt ;)
Gruß
Kudos: Sina Kheirkhah
.. bei Veeam gabs mal wieder einen 10er (9,8er) CVE-Score.
labs.watchtowr.com/veeam-backup-response-rce-with-auth-but-mostly-without-auth-cve-2024-40711-2/
Version Status
12.2.0.334 Fully patched. Not affected by the vulnerabilities in this blogpost.
12.1.2.172 Affected, but exploitation requires authentication. Low privilege users are able to execute arbitrary code.
12.1.1.56 and earlier Vulnerable to unauthenticated RCE.
Schaut, dass Ihr up2date bleibt ;)
Gruß
Kudos: Sina Kheirkhah
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668054
Url: https://administrator.de/knowledge/rce-veeam-erhaelt-9-8-cve-score-668054.html
Ausgedruckt am: 22.12.2024 um 06:12 Uhr
5 Kommentare
Neuester Kommentar
- Version 12.1.2.172 nur mit Authentifizierung eines Users auch eines unprivilegierten.
- Version 12.1.1.56 and earlier auch ohne Authentifizierung nur über das Ansprechen eines .NET Remoting Endpoints eines Servers
bzw. wie erfolgt der Angriff genau? Weißt du da was Genaueres?
Im groben und ganzen wird hier .NET Code in der DLL verwendet was es für Angreifer ziemlich leicht macht den Code zu dissassemblen und zu analysieren was die Programmierer verbockt haben. .NET Reflector macht das Decompiling z.B. sehr einfach.Veeam verwendet hier einen .NET Remoting Server der bestimmte ihm geschickte Daten "deserialisiert" was bedeutet das aus Strings wieder .NET Objekte gemacht werden. Wenn du dem Server hier also bestimmte Daten (den "payload") übers Netzwerk schickst die der Server dann in Objekte umwandelt die er nicht genügend auf Gültigkeit geprüft hat können auf dem Server beliebige Befehle ausgeführt werden.
Je nach Version ist dafür eine vorherige Auth nötig oder eben nicht. Bei den älteren Versionen reicht also ein simpler Netzwerkzugriff zu der Veeam-Maschine aus um einen Angriff durchzuführen.
Gruß