Un exploit de preuve de concept (PoC) pour une vulnérabilité d’évasion d’authentification dans Veeam BackupUn backup est une copie de sécurité qui est créée et stockée e… Enterprise Manager, identifiée comme CVE-2024-29849, a été rendu public. Ce fait souligne l’urgence pour les administrateurs à appliquer les dernières mises à jour de sécurité.
Veeam Backup Enterprise Manager (VBEM) est une plateforme web utilisée pour gérer des installations de Veeam Backup & Replication à travers une console web. Cet outil est fondamental pour contrôler les tâches de sauvegarde et réaliser des opérations de restauration dans l’infrastructure de sauvegarde d’une organisation.
Le 21 mai, Veeam a émis un bulletin de sécurité alertant sur une vulnérabilité critique permettant à des assaillants distants non authentifiés d’accéder à l’interface web de VBEM comme n’importe quel utilisateur. L’entreprise a incité ses clients à mettre à jour à la version 12.1.2.172 de VBEM et a fourni des conseils de mitigation pour ceux qui ne peuvent pas appliquer la mise à jour immédiatement.
Détails de l’Exploit
Dans une analyse technique réalisée par Sina Kheirkha, chercheur en cybersécuritéLes solutions de cybersécurité sont essentielles dans l’ère di…, il est expliqué que la vulnérabilité réside dans le service ‘Veeam.Backup.Enterprise.RestAPIService.exe’, qui écoute sur le port TCPTCP (Transmission Control Protocol) est un protocole de trans… 9398 et fonctionne comme serveur APIUne API, acronymes en anglais de « Application Programming Int… REST pour l’application web principale.
L’exploit consiste à envoyer un token SSO (single-sign-on) de VMware spécialement manipulé au service vulnérable en utilisant l’API de Veeam. Le token inclut une requête d’authentification qui usurpe un utilisateur administrateur et une URL du service SSO que Veeam ne vérifie pas.
Le token SSO, codé en base64, est décodé et interprété sous forme de XML pour vérifier sa validité par le biais d’une requête SOAP vers une URL contrôlée par l’attaquant. Ce serveur malveillant répond positivement aux requêtes de validation, ce qui permet à Veeam d’accepter la requête d’authentification et d’accorder l’accès administrateur à l’attaquant.
L’exploit disponible démontre toutes les étapes nécessaires pour exploiter la vulnérabilité, y compris la configuration d’un serveur de retour, l’envoi du token manipulé et l’obtention d’une liste de serveurs de fichiers comme preuve de l’exploitation réussie.
Mitigation des Risques
Bien que des exploitations dans des environnements réels de la vulnérabilité CVE-2024-29849 n’ont pas encore été signalées, la disponibilité publique d’un exploit fonctionnel pourrait changer rapidement cette situation. Par conséquent, il est critique de mettre à jour à la version 12.1.2.172 ou ultérieure le plus tôt possible.
Pour ceux qui ne peuvent pas appliquer le patch immédiatement, les mesures suivantes sont recommandées :
- Limiter l’accès à l’interface web de VBEM en restreignant l’accès réseau uniquement aux adresses IP de confiance.
- Implémenter des règles de pare-feu pour bloquer l’accès non autorisé aux ports utilisés par les services de Veeam (par exemple, le port 9398 pour l’API REST).
- Activer l’authentification multifactorielle pour tous les comptes accédant à VBEM.
- Déployer un pare-feu d’applications web pour aider à détecter et bloquer les requêtes malveillantes dirigées vers VBEM.
- Surveiller et auditer régulièrement les logs d’accès à la recherche de tentatives d’accès suspectes ou non autorisées, et configurer des alertes pour des tentatives de connexion depuis des adresses IP peu fiables.
- Isoler le serveur VBEM des autres systèmes critiques au sein de votre réseau pour contenir le risque de mouvements latéraux.
L’adoption rapide de ces mesures peut être cruciale pour protéger l’infrastructure de sauvegarde des organisations et éviter des éventuelles brèches de sécurité.
Source : Bleeping Computer
