Veeam hat seine Kunden heute dringend dazu aufgefordert, eine kritische Sicherheitslücke zu patchen, die es nicht authentifizierten Angreifern ermöglicht, sich über den Veeam Backup Enterprise Manager (VBEM) in beliebige Konten einzuloggen. VBEM ist eine webbasierte Plattform, die es Administratoren erlaubt, Installationen von Veeam Backup & Replication über eine einzige Webkonsole zu verwalten. Es dient der Steuerung von Backup-Jobs und der Durchführung von Wiederherstellungsoperationen innerhalb der Backup-Infrastruktur einer Organisation, insbesondere bei großangelegten Einsatzgebieten.

Es ist wichtig zu beachten, dass VBEM standardmäßig nicht aktiviert ist und nicht alle Umgebungen für Angriffe anfällig sind, die die Schwachstelle CVE-2024-29849 ausnutzen, die von Veeam mit einer CVSS-Basisbewertung von 9,8 von 10 eingestuft wurde.

Details zur Sicherheitslücke und Abhilfemaßnahmen:

„Diese Schwachstelle im Veeam Backup Enterprise Manager ermöglicht es einem nicht authentifizierten Angreifer, sich als beliebiger Benutzer in die Web-Oberfläche des Veeam Backup Enterprise Managers einzuloggen“, erklärte das Unternehmen.

Administratoren, die nicht sofort auf die Version 12.1.2.172 von VBEM upgraden können, welche diesen Sicherheitsfehler behebt, können das Risiko immer noch mindern, indem sie die Dienste VeeamEnterpriseManagerSvc (Veeam Backup Enterprise Manager) und VeeamRESTSvc (Veeam RESTful API) stoppen und deaktivieren.

Falls der Veeam Backup Enterprise Manager derzeit nicht verwendet wird, kann er auch deinstalliert werden, um den Angriffsvektor zu entfernen.

Weitere Sicherheitslücken und deren Auswirkungen:

Heute hat Veeam auch zwei weitere hochgradige Sicherheitslücken in VBEM gepatcht: eine, die eine Kontenübernahme über NTLM-Relay ermöglicht (CVE-2024-29850) und eine zweite, die es hochprivilegierten Benutzern erlaubt, den NTLM-Hash des Dienstkontos des Veeam Backup Enterprise Managers zu stehlen, falls es nicht als Standard-Lokalsystemkonto konfiguriert ist (CVE-2024-29851).

In der Vergangenheit wurden Sicherheitslücken in Veeam-Produkten in Ransomware-Angriffen ausgenutzt. Im März 2023 patchte Veeam eine hochgradige Sicherheitslücke (CVE-2023-27532) in der Backup & Replication-Software, die später von der finanziell motivierten Bedrohungsgruppe FIN7 und verschiedenen Ransomware-Operationen wie Conti, REvil und BlackBasta ausgenutzt wurde.

Maßnahmen und Empfehlungen:

Veeam empfiehlt allen Nutzern, umgehend entsprechende Sicherheitsupdates zu installieren, um das Risiko einer Kompromittierung ihrer Systeme zu minimieren. Veeam-Produkte werden weltweit von über 450.000 Kunden genutzt, darunter 74 % aller Global-2.000-Unternehmen, was die Bedeutung dieser Sicherheitsupdates unterstreicht.