TI – CVE-2024-40711 - Veeam Backup & Replication Pre-Auth Vulnerability

Beschreibung:

Der Hersteller Veeam warnte am 2024-09-04 vor mehreren Schwachstellen in ihrem Produkt Veeam Backup & Replication. Wir wollen hiermit auf die Schwachstelle CVE-2024-40711 hinweisen. Diese ermöglicht es nicht authentifizierten Angreifern beliebigen Programmcode auf dem betroffenen Asset auszuführen. Bisher war die Wahrscheinlichkeit einer erfolgreichen Ausnutzung dieser Schwachstelle aufgrund vieler fehlenden Informationen sehr niedrig. Öffentliche Write-Ups haben gezeigt, dass die Entwicklung von Exploits und Reverse Engineering für diese Schwachstelle nicht trivial war. Am 2024-05-21 veröffentlichte Veeam einen Patch, der bereits einen Fix für den Authentifizierungsbypass beinhaltet. Dies wurde von Veeam nicht in Form einen Security Advisories kommuniziert. Daher war die Schwachstelle zu diesem Zeitpunkt teilweise behoben. Der Fix ist in der Version 12.1.2.172 enthalten. Seit 2024-09-15 gibt es einen öffentlichen verfügbaren Exploit für diese Schwachstelle, der auch den Authentifizierungspatch aus Version 12.1.2.172 umgeht.

Betroffene Systeme:

Veeam Backup & Replication <= 12.1.2.172

Sofortmaßnahme:

Veeam Backup & Replication >= 12.2.0.334

Empfohlene Maßnahmen:

Wir empfehlen, das vom Hersteller publizierte Update umgehend zu installieren.

Einschätzung der Bedrohung:

Die Schwachstelle wird von Ransomware Gangs mit hoher Wahrscheinlichkeit genutzt, um die Backups von Opfern unbrauchbar zu machen. Ein öffentlich verfügbarer Exploit vereinfacht die Ausnutzung der Schwachstelle sehr stark.

Weiterführende Informationen:

https://labs.watchtowr.com/veeam-backup-response-rce-with-auth-but-mostly-without-auth-cve-2024-40711-2/
https://www.veeam.com/kb4649