Fecha de publicación: 08/03/2024
Nivel de peligrosidad: CRÍTICO
El CCN-CERT, del Centro Criptológico Nacional, informa que Veeam, fabricante de software de gestión de backup y recuperación ante desastres publicó en 2023 un aviso de seguridad que contiene una vulnerabilidad descubierta en sus productos Veeam Backup & Replication y Veeam Cloud Connect.
Este error, catalogado bajo el CVE-2023-27532 fue reportado por el investigador conocido como Shanigen, y una explotación exitosa del mismo podría permitir a atacantes no autenticados acceder a los equipos de la infraestructura de respaldo después de obtener las credenciales cifradas almacenadas en la base de datos de configuración de VeeamVBR (Veeam Backup & Replication).
Según la propia compañía, este software de copia de seguridad, recuperación ante desastres y protección de datos, está siendo utilizado actualmente por más de 450.000 clientes en todo el mundo, por lo que se destaca el alcance que podría tener esta vulnerabilidad.
Recientemente, se han observado actividades relacionadas con la explotación de esta vulnerabilidad por parte grupos de ransomware, llegando a identificar ataques que se dirigieron a servidores que ejecutan el software vulnerable de Veeam Backup and Replication para acceder a ellos y una vez comprometidos proceder al cifrado de entornos de virtualización y copias de seguridad.
A continuación, se detallan las especificaciones técnicas relativas a la vulnerabilidad reportada en el aviso de severidad alta que afecta a Veeam Backup & Replication y Veeam Cloud Connect:
- CVE-2023-27532: Vulnerabilidad que existe debido a la falta de autorización dentro de Veeam.Backup.Service.exe. Un atacante remoto puede conectarse al servicio afectado en el puerto 9401/TCP, obtener credenciales cifradas almacenadas en la base de datos de configuración y utilizar esta información para acceder a los equipos de la infraestructura.
La base de datos del NIST ha registrado esta vulnerabilidad, asignándole una criticidad alta de acuerdo a la escala CVSSv3. Por otro lado, investigadores de Horizon3 han publicado una de prueba de concepto (PoC) en la que se puede observar cómo se extraen credenciales utilizando esta vulnerabilidad reportada. Asimismo, desarrolladores de seguridad de Huntress compartieron una publicación en la que se demuestra cómo se obtienen credenciales de texto sin cifrar y se logra la ejecución de código arbitrario.
Recursos afectados
Las vulnerabilidades reportadas afectan a los siguientes productos y a las versiones correspondientes:
Veeam Backup & Replication:
- Versión 11 anteriores a 11.0.1.1261 P20230227
- Versión 12 anteriores a 12.0.0.1420 P20230223)
Solución a la vulnerabilidad
Con la publicación de la última actualización de seguridad, Veeam ha corregido la vulnerabilidad descrita. Desde la compañía se recomienda actualizar a las siguientes versiones:
No obstante, la compañía ofrece una solución temporal para los clientes que no pueden implementar de inmediato los parches indicados anteriormente. Para bloquear el vector de ataque y proteger los servidores vulnerables contra posibles intentos de explotación, es recomendable bloquear las conexiones externas al puerto TCP 9401 utilizando el firewall del servidor, hasta que sea posible desplegar las actualizaciones indicadas en el apartado anterior.
El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que realicen las actualizaciones mencionadas con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Referencias
Atentamente,
Equipo CCN-CERT
