Il 21 maggio 2024, Veeam ha pubblicato un avviso riguardante CVE-2024-29849, una vulnerabilità critica di bypass dell’autenticazione in Veeam Backup Enterprise Manager. Questa vulnerabilità consente a un aggressore non autenticato di accedere all’interfaccia web di Veeam Backup Enterprise Manager come qualsiasi utente, bypassando di fatto tutti i meccanismi di autenticazione.
Sina Kheirkhah del Summoning Team ha sviluppato un exploit proof-of-concept (PoC) per questa vulnerabilità, evidenziando la gravità del problema e le potenziali implicazioni per le organizzazioni che utilizzano il software Veeam.
La vulnerabilità: CVE-2024-29849
La vulnerabilità risiede in Veeam.Backup.Enterprise.RestAPIService.exe, un componente server REST API del software Veeam Backup Enterprise Manager. Questo servizio è in ascolto sulla porta TCP 9398 e funge da versione API dell’applicazione Web principale, che opera sulla porta TCP 9443.
L’exploit PoC manipola il metodo Veeam.Backup.Enterprise.RestAPIService.CEnterpriseRestSessionManagerControllerStub.LogInAfterAuthentication, che viene eseguito quando viene ricevuta una richiesta di autenticazione. L’exploit mira a controlli e condizioni specifici all’interno di questo metodo per bypassare l’autenticazione.
L’exploit comporta la creazione di un’asserzione SAML dannosa e l’invio al servizio Veeam vulnerabile. L’asserzione SAML è progettata per indurre il servizio a convalidare il token e concedere l’accesso all’aggressore.
Mitigazione e best practice
In risposta al rilascio dell’exploit PoC, Veeam ha raccomandato aggiornamenti immediati all’ultima versione del proprio software, incluse patch per risolvere questa vulnerabilità.
Le organizzazioni dovrebbero rivedere le proprie configurazioni di sicurezza e prendere in considerazione l’implementazione di livelli di sicurezza aggiuntivi, come l’autenticazione a più fattori (MFA) e la segmentazione di rete, per mitigare il rischio di sfruttamento.
Ecco alcune best practice e raccomandazioni per proteggere la tua organizzazione da potenziali violazioni dei dati e incidenti di sicurezza:
- Mantieni aggiornati i tuoi sistemi: aggiorna regolarmente il software Veeam Backup Enterprise Manager all’ultima versione per assicurarti di avere le patch e le correzioni di sicurezza più recenti.
- Implementa l’autenticazione a più fattori (MFA): MFA aggiunge un ulteriore livello di sicurezza richiedendo agli utenti di fornire almeno due forme di autenticazione prima di accedere a dati e sistemi sensibili.
- Implementa la segmentazione di rete: la segmentazione di rete separa la tua rete in segmenti più piccoli e isolati, riducendo la superficie di attacco e rendendo più difficile per gli aggressori muoversi lateralmente all’interno della tua rete.
- Monitora la tua rete: monitora regolarmente la tua rete per attività sospette, come tentativi di accesso non autorizzati, trasferimenti di dati insoliti e altre anomalie.
- Implementa una solida politica di sicurezza: sviluppa e applica una solida politica di sicurezza che delinea i ruoli e le responsabilità dei tuoi dipendenti, nonché le procedure e i protocolli per proteggere i tuoi dati e sistemi.
Il rilascio dell’exploit PoC per CVE-2024-29849 evidenzia la natura critica di questa vulnerabilità e la necessità di una mitigazione immediata. Le organizzazioni che utilizzano Veeam Backup Enterprise Manager dovrebbero adottare misure immediate per proteggersi da potenziali violazioni dei dati e incidenti di sicurezza. Seguendo le best practice e le raccomandazioni descritte in questo articolo, puoi contribuire a garantire la sicurezza e l’integrità dei tuoi dati e sistemi.
