Un bulletin de sécurité publié par Veeam le 21 mai 2024 a averti ses utilisateurs d’une faille critique de vulnérabilité dans Veeam Backup Enterprise Manager (VBEM). Un exploit de type proof-of-concept (PoC), pour cette faille de contournement d’authentification, est maintenant disponible publiquement ! En effet, la vulnérabilité CVE-2024-29849 permet à un attaquant de contourner l’authentification et de prendre le contrôle du système. Il est urgent pour les administrateurs d’appliquer des dernières mises à jour de sécurité…
Table des matières
ToggleQu’est-ce que Veeam Backup Enterprise Manager et quels sont les systèmes concernés ?
Veeam Backup Enterprise Manager (VBEM) est une plateforme web munie d’une console qui sert à gérer les installations de Veeam Backup & Replication. Ainsi plusieurs serveurs Veeam Backup & Replication peuvent être gérés via cette unique console. Elle permet aux administrateurs de contrôler les tâches de sauvegarde et d’effectuer des opérations de restauration au sein de l’infrastructure de leur organisation, ou encore de lancer des déploiements à grande échelle.
Veeam, dans son bulletin de sécurité du 21 mai, mis à jour le 10 juin, a notifié que le déploiement de VBEM est optionnel et qu’il n’est pas installé et activé par défaut dans tous les environnements. Si cette application supplémentaire n’est pas déployée dans votre environnement, celui-ci ne sera donc pas concerné par ces vulnérabilités.
Toutefois Veeam fournit l’astuce suivante : “Vous pouvez identifier si VBEM est installé en vérifiant la présence du service Veeam Backup Enterprise Manager ou en exécutant la commande PowerShell suivante sur le serveur Veeam Backup pour voir si VBR signale qu’il est géré par un déploiement de VBEM.”
Get-VBRServer | Out-Null
[Veeam.Backup.Core.SBackupOptions]::GetEnterpriseServerInfo() | Format-List
La faille de sécurité de contournement d’authentification : CVE-2024-29849
La faille critique de vulnérabilité CVE-2024-29849 permet à un attaquant distant de contourner l’authentification, de se connecter à l’interface web de VBEM et de prendre le contrôle du système. Toutes les versions antérieures à la version 12.1.2.172 qui ont déployé via Veeam Backup Enterprise Manager sont affectées.
L’éditeur Veeam a attribué un score CVSS de 9,8/10 à la faille de sécurité critique CVE-2024-29849. Il a par ailleurs averti : « Cette vulnérabilité dans Veeam Backup Enterprise Manager permet à un attaquant non authentifié de se connecter à l’interface web de Veeam Backup Enterprise Manager en tant que n’importe quel utilisateur »
Aussi, pour résoudre le problème, Veeam a invité ses clients à passer à la version 12.1.2.172 de VBEM qui est disponible au téléchargement ici, sur son site officiel. Pour ceux qui ne seraient pas en mesure de patcher rapidement, Veeam conseille de désactiver les services suivants afin d’atténuer la vulnérabilité :
- VeeamEnterpriseManagerSvc (Veeam Backup Enterprise Manager)
- VeeamRESTSvc (Veeam RESTful API)
Note de Veeam : « sur les serveurs où VBEM et VBR sont installés, il y aura deux services avec des noms similaires. Le service nommé ‘Veeam Backup Server RESTful API Service’ appartient au logiciel Veeam Backup & Replication et n’a pas besoin d’être arrêté dans le cadre de cette atténuation ».
L’éditeur signale que la désactivation de ces services n’empêchera pas l’installation de la mise à jour 12.1.2, mais qu’après la mise à jour, les services devront être réinitialisés pour qu’ils démarrent automatiquement. Enfin il conseille également la désinstallation de VBEM si ce dernier est installé et non utilisé, afin d’éliminer le vecteur d’attaque.
Parallèlement, Veeam a également corrigé plusieurs vulnérabilités de VBEM, de haute sévérité.
- La faille CVE-2024-29850 (score CVSS de 8.8 /10) permet la prise de contrôle d’un compte via un relais NTLM
- La faille CVE-2024-29851 (score CVSS de 7.2 /10) permet à des utilisateurs à haut privilège de voler le hash NTLM du compte de service Veeam Backup Enterprise Manager s’il n’est pas configuré pour s’exécuter en tant que compte Local System par défaut.
- La faille CVE-2024-29852 (score CVSS de 2.7 /10) cette vulnérabilité de faible niveau permet à un attaquant, avec des privilèges élevés, de lire les logs de sessions de backups ( journaux des sauvegardes).
Détails de l’exploit
Le chercheur en cybersécurité Sina Kheirkha (@SinSinology), a publié un article technique sur Summoning Team. Il y explique que le problème se situe dans le service ‘Veeam.Backup.Enterprise.RestAPIService.exe’ qui est installé lors de l’installation du logiciel Veeam Enterprise Manager.
Ce service qui écoute sur le port TCP 9398, fonctionne comme un serveur API REST pour l’application web principale. Dans le contexte de Veeam Backup Enterprise Manager, cela permet aux utilisateurs et aux administrateurs d’interagir avec le système de sauvegarde par le biais de requêtes HTTP standardisées, pour effectuer des opérations comme la gestion des sauvegardes, la récupération des points de restauration, et d’autres fonctions administratives.
Dans son article le chercheur écrit au début de son analyse : “Lorsque j’ai commencé à analyser cette vulnérabilité, j’ai d’abord été un peu déçu par le peu d’informations fournies par Veeam, se contentant de dire que l’authentification peut être contournée et pas grand chose de plus, cependant, en sachant qu’il s’agit d’un problème d’authentification et que l’atténuation suggère que le problème est lié aux services « VeeamEnterpriseManagerSvc » ou « VeeamRESTSvc », j’ai commencé ma routine de différenciation des correctifs et j’ai réalisé le point d’entrée, je vais présenter VeeamRESTSvc également connu sous le nom de Veeam. Backup.Enterprise.RestAPIService.exe”
“Ce service, installé lors de l’installation du logiciel veeam enterprise manager, écoute sur le port TCP/9398 et, comme son nom l’indique, il s’agit d’un serveur API REST, qui est en fait une version API de l’application web principale, qui se trouve sur le port TCP/9443.” nous explique le chercheur en cybersécurité .
L’exploit cible l’API de Veeam en envoyant un jeton de signature unique VMware (SSO), spécialement conçu, au service vulnérable. L’expert a donc envoyé un jeton contenant une requête d’authentification qui usurpe l’identité d’un administrateur et il a utilisé une URL de service SSO que Veeam n’a pas vérifiée.
Ce jeton est encodé en base64, puis il est décodé en XML et validé par une requête SOAP vers une URL contrôlée par l’attaquant.
Puis sur le serveur mis en place et contrôlé par l’attaquant répond positivement aux requêtes de validation, ce qui donne alors un accès administrateur à l’attaquant puisque Veeam a accepté sa requête d’authentification.
L’exploit fourni par Sina Kheirkha détaille toutes les étapes nécessaires à l’exploitation de cette vulnérabilité : la mise en place d’un serveur de rappel, l’envoi du jeton de signature et la récupération d’une liste de serveurs de fichiers comme preuve d’une exploitation réussie.
Se protéger contre les risques
Dans son article du 10 juin BleepingComputer, nous met en garde, bien qu’à ce jour aucune exploitation n’ait ait encore été signalée. La mise à disposition publique pourrait rapidement changer la donne si les mises à jour et les protections d’usage ne sont pas été appliquées. Il est donc essentiel de mettre à jour le plus rapidement possible vers la version 12.1.2.172 ou une version ultérieure.
En attendant, pour tous ceux qui ne pourraient pas appliquer le correctif, il est recommandé de prendre les précautions suivantes :
- Restreindre l’accès au réseau aux seules adresses IP de confiance afin de limiter l’accès à VBEM.
- Implémenter des règles de pare-feu pour bloquer les accès non autorisés aux ports utilisés par les services Veeam
- Sécuriser l’authentification pour tous les comptes accédant à VBEM en utilisant par exemple l’authentification multi-facteurs.
- Déployer un firewall pour détecter et bloquer les requêtes malveillantes ciblant VBEM.
- Contrôler et auditer régulièrement les journaux d’accès pour détecter les tentatives non autorisées et mettre en place des alertes.
- Isoler le serveur des autres systèmes du réseau afin de limiter les risques de compromission.
Enfin, pour détecter les tentatives d’exploitation, Sina Kheirkha recommande d’analyser le fichier journal suivant :
C:\\ProgramData\\Veeam\\Backup\\Svc.VeeamRestAPI.log
Rechercher ‘Validating Single Sign-On token. Service enpoint URL:‘ à l’intérieur de ce fichier et si vous le voyez, cela signifie que vous avez eu une tentative d’exploitation.
Références et analyses (en anglais) :
Bypassing Veeam Authentication CVE-2024-29849 (summoning.team)
Exploit for critical Veeam auth bypass available, patch now (bleepingcomputer.com)
Release Information for Veeam Backup & Replication 12.1 and Updates (veeam.com)