Kriittisiä haavoittuvuuksia Veeam ONE -ohjelmistossa

Veeam on ilmoittanut kahdesta kriittisestä haavoittuvuudesta Veeam ONE ohjelmistossa. Ensimmäinen haavoittuvuus (CVE-2023-38547) mahdollistaa koodin etäsuorittamiseen Veeam ONE -ohjelmiston asetustietokantanaan käyttämällä SQL-palvelimella. Toisessa haavoittuvuudessa (CVE-2023-38548) hyökkääjän on mahdollista saada käyttöönsä Veeam ONE -raportointipalvelussa käytetyn tilin NTLM-tiivisteen (hash). Haavoittuvat Veeam-versiot ovat Veeam ONE 11, 11a ja 12. Haavoittuvuuksiin on saatavilla korjaava päivitys.

Veeam ONE -ohjelmiston kriittisen haavoittuvuuden avulla kirjautumaton käyttäjä voi saada tietoja yhteydestä SQL-palvelimeen, jota Veeam ONE käyttää asetustietokantanaan. Tämä voi mahdollistaa koodin etäsuorittamisen asetustietokantapalvelimella ilman kirjautumista.

Toisessa kriittisessä haavoittuvuudessa Veeam ONE Web -palveluun kirjautuneen käyttäjän on mahdollista saada käyttöönsä Veeam ONE -raportointipalvelun käyttämän tilin NTLM-tiiviste.

Veeam on julkaissut korjaukset haavoittuvuuksiin.

Haavoittuvuuden kohde

Haavoittuvat Veeam versiot ovat Veeam ONE 11, 11a ja 12.

Mistä on kysymys?

Haavoittuvat versiot on korjattu seuraavissa versiossa:
Veeam ONE 12 P20230314 (12.0.1.2591)
Veeam ONE 11a (11.0.1.1880)
Veeam ONE 11 (11.0.0.1379)

Veeam on julkaissut kaksi muuta haavoittuvuutta, jotka voi korjata tällä samalla päivityksellä.
Veeam ONE kertoo haavoittuvuuden lisätietoja tiedotteessaan.

Veeam One Multiple Vulnerabilities - CVE-2023-38547 | CVE-2023-38548 CVE-2023-38549 | CVE-2023-41723

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Ei julkaistu

Haavoittuvuuden käyttöaste ei ole tiedossa.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.