Exploit crítico para bypass de autenticación en Veeam

Un exploit de prueba de concepto (PoC) para una vulnerabilidad de bypass de autenticación en Veeam Backup Enterprise Manager, rastreada como CVE-2024-29849, ya está disponible públicamente, lo que hace urgente que los administradores apliquen las últimas actualizaciones de seguridad.

Veeam Backup Enterprise Manager (VBEM) es una plataforma web para gestionar las instalaciones de Veeam Backup & Replication a través de una consola web. Permite controlar trabajos de respaldo y realizar operaciones de restauración en toda la infraestructura de respaldo de una organización y despliegues a gran escala.

 

Detalles del Exploit

En un análisis técnico por Sina Kheirkha, se explica que la vulnerabilidad reside en el servicio ‘Veeam.Backup.Enterprise.RestAPIService.exe’, que escucha en el puerto TCP 9398, funcionando como un servidor API REST para la aplicación web principal.

El exploit implica enviar un token SSO (single-sign-on) de VMware especialmente creado al servicio vulnerable utilizando la API de Veeam. El token contiene una solicitud de autenticación que se hace pasar por un usuario administrador y una URL del servicio SSO que Veeam, crucialmente, no verifica.

El token SSO codificado en base64 se decodifica e interpreta en forma XML para verificar su validez a través de una solicitud SOAP a una URL controlada por el atacante. Este servidor controlado por el atacante responde positivamente a las solicitudes de validación, por lo que Veeam acepta la solicitud de autenticación y otorga acceso de administrador al atacante.

 

Exploit crítico para bypass de autenticación en Veeam disponible, urge aplicar parche
Riesgos y Recomendaciones

Aunque no se han reportado explotaciones en el mundo real de la CVE-2024-29849, la disponibilidad pública de un exploit funcional podría cambiar esto en poco tiempo. Por lo tanto, actualizar a la versión 12.1.2.172 o posterior lo antes posible es crucial.

Para aquellos que no puedan aplicar el parche de inmediato, se recomiendan las siguientes medidas:

  • Limitar el acceso a la interfaz web de VBEM restringiendo el acceso de red solo a direcciones IP de confianza.
  • Implementar reglas de firewall para bloquear el acceso no autorizado a los puertos utilizados por los servicios de Veeam (por ejemplo, el puerto 9398 para la API REST).
  • Habilitar la autenticación multifactor para todas las cuentas que acceden a VBEM.
  • Desplegar un firewall de aplicaciones web para ayudar a detectar y bloquear solicitudes maliciosas dirigidas a VBEM.
  • Monitorear y auditar regularmente los registros de acceso en busca de intentos de acceso sospechosos o no autorizados, y configurar alertas para intentos de inicio de sesión desde direcciones IP no confiables.
  • Aislar el servidor VBEM de otros sistemas críticos dentro de su red para contener el riesgo de movimiento lateral.

Es imperativo que las organizaciones tomen medidas inmediatas para proteger sus entornos de respaldo y evitar posibles compromisos de seguridad debido a esta vulnerabilidad crítica.

Related Posts
Clear Filters

En un alarmante giro de acontecimientos, Disney ha sido víctima de un hackeo masivo perpetrado por el grupo de ciberdelincuentes…

Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.