esenfrdeitptru

CISA ha añadido dos vulnerabilidades que afectan al software “Veeam Backup & Replication”

AS-099-2022

Fecha: 16/Dic/2022

Notificado por: Correo- CORREO CISA, CTI FIRST

Resumen:

Veeam Backup & Replication es una aplicativo propietario para ambientes virtuales construido sobre VMware vSphere, Nutanix AHV y Microsoft Hyper-V hypervisors. CISA ha añadido a su catálogo de vulnerabilidades explotadas conocidas y rastreadas como CVE-2022-26500 y CVE-2022-26501 (CVSS 3.1 Base Score 9.8) que afectan a éste software.

La vulnerabilidad permite a los usuarios no autenticados acceder a las funciones internas de la API, lo que finalmente permitirá la ejecución de código arbitrario o podría conducir a la copia de archivos dentro de los límites de la configuración regional o desde una red remota de Server Message Block (SMB), RCE sin autorización o RCE/LPE sin autorización.

La aplicación no solo respalda y recupera máquinas virtuales (VM), sino que también se puede usar para proteger y restaurar archivos y aplicaciones individuales para entornos como Exchange y SharePoint.

CloudSEK indica que el malware llamado 'Veeamp' fue encontrado en la naturaleza y utilizado por los grupos de ransomware Monti y Yanluowang para descargar credenciales de una base de datos SQL para el software de administración de copias de seguridad de Veeam.

La compañía también encontró un repositorio de GitHub llamado "veeam-creds" que contenía scripts para recuperar contraseñas del administrador de credenciales Veeam Backup & Replication junto con tres archivos maliciosos.

El texto del aviso de CloudSEK está disponible en el sitio web de la empresa y contiene una lista completa de Indicadores de Compromiso (IoC).

Indicadores de compromiso:

Hashes:

9aa1f37517458d635eae4f9b43cb4770880ea0ee171e7e4ad155bbdee0cbe732Df492b4cc7f644ad3e795155926d1fc8ece7327c0c5c8ea45561f24f5110ce5478517fb07ee5292da627c234b26b555413a459f8d7a9641e4a9fcc1099f06a3d

Nombres: veeamp.exe, vp.exe9aa1.exe, o_vp.exe, IP Address: 13.107.4.52

Recomendaciones:

Las organizaciones deben revisar el catálogo y abordar las vulnerabilidades en su infraestructura.

Las versiones v9.5, 10 and 11 de Veeam Backup & Replication están afectadas y los parches provistos  para las dos últimas versiones. La empresa indica a los usuarios que es urgente actualizar las versiones a una que tenga soporte.

Si los parches no pueden ser implementados rápidamente, los administradores pueden parar temporalmente y deshabilitar el servicio Veeam Distribution.

Referencias:

https://www.infosecurity-magazine.com/news/rce-vulnerabilities-in-veeam/
https://www.infosecurity-magazine.com/news/rce-vulnerabilities-in-veeam/