Ein Proof-of-Concept (PoC)-Exploit für eine schwerwiegende Authentifizierungsumgehungs-Schwachstelle im Veeam Backup Enterprise Manager (VBEM), gekennzeichnet als CVE-2024-29849, ist nun öffentlich zugänglich. Es ist dringend geboten, dass Administratoren die neuesten Sicherheitsupdates anwenden.

VBEM ist eine webbasierte Plattform zur Verwaltung von Veeam Backup & Replication-Installationen über eine Webkonsole. Es unterstützt die Steuerung von Backup-Aufgaben und die Durchführung von Wiederherstellungsoperationen über die Backup-Infrastruktur einer Organisation und bei großangelegten Deployments.

Veeam warnte in einem Sicherheitsbulletin am 21. Mai vor dieser kritischen Schwachstelle, die es entfernten, nicht authentifizierten Angreifern ermöglicht, sich als beliebiger Nutzer in die Web-Oberfläche des VBEM einzuloggen.

Exploit-Details

In einer technischen Erläuterung von Sina Kheirkha, einem Cybersecurity-Forscher, wird erklärt, dass die Schwachstelle im Dienst ‚Veeam.Backup.Enterprise.RestAPIService.exe‘ liegt, der auf TCP-Port 9398 lauscht und als REST API-Server für die Hauptwebanwendung fungiert.

Der Exploit umfasst das Senden eines speziell gestalteten VMware Single-Sign-On (SSO)-Tokens an den anfälligen Dienst über die Veeam-API. Dieses Token beinhaltet eine Authentifizierungsanfrage, die einen Administratorbenutzer und eine SSO-Dienst-URL imitiert, die von Veeam entscheidend nicht überprüft wird.

Das base64-kodierte SSO-Token wird entschlüsselt und in XML-Form interpretiert, um seine Gültigkeit über eine SOAP-Anfrage an eine vom Angreifer kontrollierte URL zu überprüfen. Diese rogue Server antworten positiv auf Validierungsanfragen, sodass Veeam die Authentifizierungsanfrage akzeptiert und dem Angreifer Administratorzugang gewährt.

Risikobewältigung

Obwohl bisher keine Ausnutzung von CVE-2024-29849 in der Praxis gemeldet wurde, könnte die öffentliche Verfügbarkeit eines funktionierenden Exploits dies kurzfristig ändern. Daher ist ein Update auf Version 12.1.2.172 oder später so bald wie möglich kritisch.

Für diejenigen, die nicht sofort patchen können, sollten folgende Maßnahmen befolgt werden:

  • Beschränken Sie den Zugang zur VBEM-Web-Schnittstelle, indem Sie den Netzwerkzugriff nur auf vertrauenswürdige IP-Adressen beschränken.
  • Implementieren Sie Firewall-Regeln, um den unbefugten Zugriff auf die von Veeam-Diensten genutzten Ports zu blockieren (z.B. Port 9398 für die REST API).
  • Aktivieren Sie die Multi-Faktor-Authentifizierung für alle Konten, die auf VBEM zugreifen.
  • Installieren Sie eine Web Application Firewall, um bösartige Anfragen an VBEM zu erkennen und zu blockieren.
  • Überwachen und prüfen Sie regelmäßig die Zugriffsprotokolle auf verdächtige oder unbefugte Zugriffsversuche und richten Sie Warnungen für Anmeldeversuche von nicht vertrauenswürdigen IP-Adressen ein.
  • Isolieren Sie den VBEM-Server von anderen kritischen Systemen innerhalb Ihres Netzwerks, um das Risiko einer lateralen Bewegung zu begrenzen.