Veeam ONE ha annunciato il rilascio di aggiornamenti di sicurezza per correggere quattro vulnerabilità nella sua piattaforma di monitoraggio e analisi IT , due delle quali sono state classificate come critiche.
Vulnerabilità critiche in Veeam ONE richiedono attenzione immediata
Le vulnerabilità scoperte includono una falla non specificata, identificata come CVE-2023-38547, con un punteggio CVSS di 9.9, che permette a un utente non autenticato di ottenere informazioni sulla connessione al server SQL utilizzato dal software per accedere al suo database di configurazione, portando all’esecuzione di codice remoto sul server SQL.
Un’altra vulnerabilità critica, etichettata come CVE-2023-38548 e con un punteggio CVSS di 9.8, consente a un utente non privilegiato con accesso al “Veeam ONE Web Client” di ottenere l’hash NTLM dell’account utilizzato dal Servizio di Reporting.
Altre falle di sicurezza e raccomandazioni
In aggiunta, è stata identificata una vulnerabilità di cross-site scripting (XSS), CVE-2023-38549, con un punteggio di 4.5, che permette a un utente con il ruolo di Power User di Veeam ONE di ottenere il token di accesso di un amministratore. Un’ulteriore vulnerabilità, CVE-2023-41723 con punteggio di 4.3, consente agli utenti con ruolo di solo lettura di visualizzare il Dashboard Schedule.
Le versioni di Veeam ONE interessate dalle vulnerabilità CVE-2023-38547, CVE-2023-38548 e CVE-2023-41723 sono la 11, la 11a e la 12, mentre la CVE-2023-38548 impatta esclusivamente la versione 12. I fix per queste problematiche sono disponibili nelle versioni indicate.
Rischi precedenti e misure di sicurezza
Negli ultimi mesi, diverse falle critiche nel software di backup Veeam sono state sfruttate da vari attori di minacce, inclusi i gruppi FIN7 e il ransomware BlackCat, per distribuire malware. Si raccomanda agli utenti che utilizzano le versioni interessate di interrompere i servizi di Monitoraggio e Reporting di Veeam ONE, sostituire i file esistenti con quelli forniti nella patch e riavviare entrambi i servizi.