PROTO: N231109

 CERT Yoroi informa riguardo una serie di vulnerabilità critiche che affliggono il prodotto ONE del vendor Veeam.   

Veeam ONE è un prodotto che si occupa della completa gestione proattiva fornendo informazioni e visibilità che aiutano gli utenti a identificare e risolvere i problemi prima ancora che si verifichino, garantendo la protezione dei dati critici e del ripristino di successo attraverso: Monitoraggio in tempo reale, Reportistica completa, Rimedio automatizzato. 

Nello specifico, le vulnerabilità si strutturano in questo modo: 

• CVE-2023-38547 - Una vulnerabilità di sicurezza in Veeam ONE consente a una persona non autorizzata di ottenere dettagli sulla connessione al server SQL che Veeam ONE effettua per accedere al suo database di configurazione. Ne potrebbe derivare l'esecuzione di codice remoto sul server SQL che ospita il database di configurazione di Veeam ONE. 
• CVE-2023-38548 - Una vulnerabilità in Veeam ONE consente a un individuo malintenzionato di accedere al Veeam ONE Web Client e di recuperare l'hash NTLM dell'account, utilizzato da Veeam ONE Reporting Service. 
• CVE-2023-38549 - Il titolare del ruolo Veeam ONE Power User può ottenere il token di accesso di un utente del ruolo Veeam ONE Administrator utilizzando una vulnerabilità cross-site scripting (XSS). 
• CVE-2023-41723 - Una vulnerabilità di Veeam ONE consente la visualizzazione della Dashboard Schedule da parte di un utente che ha il ruolo di utente di sola lettura di Veeam ONE. 

Mentre CVE-2023-38547, CVE-2023-38548 e CVE-2023-41723 hanno un impatto sulle versioni 11, 11a e 12 di Veeam ONE, CVE-2023-38548 ha un impatto solo su Veeam ONE 12. Le correzioni per i bug sono disponibili nelle versioni seguenti. 

 
Le istruzioni per l'installazione della hotfix fornite da Veeam richiedono agli amministratori di arrestare i servizi di monitoraggio e reporting di Veeam ONE sui server interessati, sostituire i file sul disco con quelli contenuti nella hotfix e riavviare i servizi per distribuire le hotfix. 

Le vulnerabilità critiche dei vari prodotti Veeam sono state utilizzate negli ultimi mesi da diversi attori di minacce, come il ransomware BlackCat e FIN7, per diffondere malware, inoltre afferma che il suo software è utilizzato da oltre 450.000 clienti in tutto il mondo, comprendendo l'82% delle aziende Fortune 500 e il 72% di quelle elencate nella classifica annuale Global 2.000. Pertanto, il vendor consiglia di eseguire l’aggiornamento a versioni fixed e sicure. 

A questo proposito Yoroi suggerisce di tenere alto il monitoraggio e di eseguire le linee guida emanante e successivamente il patching alle versioni suggerite dal vendor. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index 

Riferimenti Esterni 

• https://www.securityweek.com/critical-vulnerabilities-expose-veeam-one-software-to-code-execution/  
• https://www.bleepingcomputer.com/news/security/veeam-warns-of-critical-bugs-in-veeam-one-monitoring-platform/  
• https://gbhackers.com/veeam-critical-bug/  
• https://www.veeam.com/kb4508?utm_source=substack&utm_medium=email