Categoría: Ciberseguridad 

Descripción:  

Se encuentra disponible en exploit de prueba de concepto (PoC) para una falla de omisión de autenticación de Veeam Backup Enterprise Manager identificada como CVE-202429849. Es urgente que los administradores apliquen las últimas actualizaciones de seguridad.  

Veeam Backup Enterprise Manager (VBEM) es una plataforma para gestionar instalaciones de Veeam Backup & Replication a través de una consola web. Ayuda a controlar los trabajos de respaldo y realizar operaciones de restauración en toda la infraestructura de respaldo de una organización y en implementaciones a gran escala. Veeam emitió un boletín de seguridad sobre la falla crítica el 21 de mayo, advirtiendo sobre una vulnerabilidad crítica que permite a atacantes remotos no autenticados iniciar sesión en la interfaz web de VBEM como cualquier usuario. 

El exploit implica enviar un token de inicio de sesión único (SSO) de VMware especialmente diseñado al servicio vulnerable utilizando la API de Veeam. El token contiene una solicitud de autenticación que se hace pasar por un usuario administrador y una URL de servicio SSO que Veeam, fundamentalmente, no verifica. El token SSO codificado en base64 se decodifica e interpreta en formato XML para verificar su validez mediante una solicitud SOAP a una URL controlada por el atacante.  

Este servidor fraudulento configurado por el atacante responde positivamente a las solicitudes de validación, por lo que Veeam acepta la solicitud de autenticación y le otorga acceso de administrador al atacante.  

Estado: Critica 

Remediación:  

El proveedor instó a sus clientes a solucionar el problema actualizando a la versión 12.1.2.172 de VBEM, y al mismo tiempo compartió consejos de mitigación para aquellos que no pueden aplicar la actualización de inmediato.  

Por mayor información acceder a:  https://blog.segu-info.com.ar/2024/06/vulnerabilidad-critica-y-exploit-para.htmlÂ