logo SOS Ransomware
Kontakt 24/7

Veeam Backup Enterprise Manager, Patch für kritische Authentifizierungsumgehungslücke verfügbar

In einem von Veeam am 21. Mai 2024 veröffentlichten Sicherheitsbulletin wurden die Benutzer vor einer kritischen Sicherheitslücke in Veeam Backup Enterprise Manager (VBEM) gewarnt. Ein Proof-of-Concept (PoC)-Exploit, für diese Authentifizierungsumgehungslücke, ist nun öffentlich verfügbar! Tatsächlich ermöglicht es die Sicherheitslücke CVE-2024-29849 einem Angreifer, die Authentifizierung zu umgehen und die Kontrolle über das System zu erlangen. Es ist dringend erforderlich, dass Administratoren die neuesten Sicherheitsupdates einspielen…

Was ist Veeam Backup Enterprise Manager und welche Systeme sind betroffen?

Der Veeam Backup Enterprise Manager (VBEM) ist eine webbasierte Plattform mit einer Konsole, die zur Verwaltung von Veeam Backup & Replication-Installationen dient. So können mehrere Veeam Backup & Replication-Server über diese eine Konsole verwaltet werden. Administratoren können damit Backup-Aufgaben überwachen, Wiederherstellungsvorgänge innerhalb der Infrastruktur ihrer Organisation durchführen oder groß angelegte Einsätze starten.

Veeam hatin seinem Sicherheitsbulletin vom 21. Mai, das am 10. Juni aktualisiert wurde, mitgeteilt, dass der Einsatz von VBEM optional ist und nicht standardmäßig in allen Umgebungen installiert und aktiviert wird. Wenn diese zusätzliche Anwendung in Ihrer Umgebung nicht bereitgestellt wird, ist diese daher nicht von den Sicherheitslücken betroffen.

Veeam gibt jedoch folgenden Tipp: „Sie können feststellen, ob VBEM installiert ist, indem Sie das Vorhandensein des Dienstes Veeam Backup Enterprise Manager überprüfen oder den folgenden PowerShell-Befehl auf dem Veeam Backup-Server ausführen, um zu sehen, ob VBR meldet, dass es von einer VBEM-Bereitstellung verwaltet wird.“

Get-VBRServer | Out-Null [Veeam.Backup.Core.SBackupOptions]::GetEnterpriseServerInfo() | Format-List.
Veeam-Backups im Fehlerfall?

Die Sicherheitslücke zur Umgehung der Authentifizierung: CVE-2024-29849.

Die kritische Sicherheitslücke CVE-2024-29849 ermöglicht es einem entfernten Angreifer, die Authentifizierung zu umgehen, sich bei der Webschnittstelle von VBEM anzumelden und die Kontrolle über das System zu übernehmen. Betroffen sind alle Versionen vor Version 12.1.2.172, die über Veeam Backup Enterprise Manager bereitgestellt wurden.

Der Hersteller Veeam hat die kritische Sicherheitslücke CVE-2024-29849 mit einem CVSS-Wert von 9,8/10 bewertet. Er warnte außerdem: „Diese Schwachstelle in Veeam Backup Enterprise Manager ermöglicht es einem nicht authentifizierten Angreifer, sich als beliebiger Benutzer bei der Weboberfläche von Veeam Backup Enterprise Manager anzumelden.“

Faille CVE-2024-29849 Veeam Backup Enterprise Manager
Quelle: Veeam

Um das Problem zu beheben, fordert Veeam seine Kunden auf, auf die VBEM-Version 12.1.2.172 umzusteigen, die hier auf der offiziellen Website zum Download bereitsteht. Für diejenigen, die nicht in der Lage sind, schnell zu patchen, empfiehlt Veeam, die folgenden Dienste zu deaktivieren, um die Sicherheitslücke zu mindern:

  • VeeamEnterpriseManagerSvc (Veeam Backup Enterprise Manager).
  • VeeamRESTSvc (Veeam RESTful API).

Anmerkung von Veeam: „Auf den Servern, auf denen VBEM und VBR installiert sind, wird es zwei Dienste mit ähnlichen Namen geben. Der Dienst mit dem Namen ‚Veeam Backup Server RESTful API Service‘ gehört zur Veeam Backup & Replication-Software und muss im Rahmen dieser Abschwächung nicht gestoppt werden“.

Der Hersteller weist darauf hin, dass die Deaktivierung dieser Dienste die Installation des Updates 12.1.2 nicht verhindert, aber dass die Dienste nach dem Update zurückgesetzt werden müssen, damit sie automatisch starten. Schließlich rät er auch zur Deinstallation von VBEM, wenn es installiert ist und nicht verwendet wird, um den Angriffsvektor zu beseitigen.

Inzwischen hat Veeam auch mehrere VBEM-Schwachstellen mit hohem Schweregrad behoben.

  • Die Schwachstelle CVE-2024-29850 (CVSS-Wert 8.8 /10) ermöglicht die Übernahme eines Kontos über ein NTLM-Relay.
  • Die Sicherheitslücke CVE-2024-29851 (CVSS-Score 7.2 /10) ermöglicht es Benutzern mit hohen Rechten, den NTLM-Hash des Veeam Backup Enterprise Manager-Dienstkontos zu stehlen, wenn es nicht so konfiguriert ist, dass es als Standard-Local-System-Konto ausgeführt wird.
  • Sicherheitslücke CVE-2024-29852 (CVSS-Wert 2,7 /10) Diese Sicherheitslücke auf niedriger Ebene ermöglicht es einem Angreifer mit hohen Rechten, die Sitzungsprotokolle von Backups zu lesen.

Details zum Exploit

Der Cybersicherheitsforscher Sina Kheirkha (@SinSinology) hat einen technischen Artikel auf Summoning Team veröffentlicht. Darin erklärt er, dass das Problem im Dienst „Veeam.Backup.Enterprise.RestAPIService.exe “ liegt, der bei der Installation der Software Veeam Enterprise Manager installiert wird.

Dieser Dienst, der auf TCP-Port 9398 lauscht, fungiert als REST-API-Server für die Haupt-Webanwendung. Im Zusammenhang mit dem Veeam Backup Enterprise Manager ermöglicht dies Benutzern und Administratoren, über standardisierte HTTP-Anfragen mit dem Backup-System zu interagieren, um Operationen wie die Verwaltung von Backups, die Wiederherstellung von Wiederherstellungspunkten und andere administrative Funktionen durchzuführen.

In seinem Artikel schreibt der Forscher zu Beginn seiner Analyse : „Als ich mit der Analyse dieser Schwachstelle begann, war ich zunächst etwas enttäuscht von den wenigen Informationen, die Veeam bereitstellte, lediglich die Aussage, dass die Authentifizierung umgangen werden kann, und nicht viel mehr, allerdings, in dem Wissen, dass es sich um ein Authentifizierungsproblem handelt und die Abschwächung darauf hindeutet, dass das Problem mit den Diensten „VeeamEnterpriseManagerSvc“ oder „VeeamRESTSvc“ zusammenhängt, begann ich meine Patch-Differenzierungsroutine und realisierte den Einstiegspunkt, ich werde VeeamRESTSvc vorstellen, auch bekannt als Veeam. Backup.Enterprise.RestAPIService.exe“.

Installation Veeam Enterprise Manager
Quelle: Summoning Team

„Dieser Dienst, der bei der Installation der Software veeam enterprise manager installiert wird, lauscht auf Port TCP/9398 und ist, wie der Name schon sagt, ein REST API-Server, der eigentlich eine API-Version der Haupt-Webanwendung ist, die sich auf Port TCP/9443 befindet“, erklärt uns der Cybersicherheitsforscher .

Der Exploit zielt auf die Veeam-API ab, indem er ein speziell entwickeltes VMware Single Sign-On (SSO)-Token an den verwundbaren Dienst sendet. Der Experte sendet also ein Token mit einer Authentifizierungsanforderung, die die Identität eines Administrators vortäuscht, und er verwendet eine SSO-Dienst-URL, die Veeam nicht verifiziert hat.

Dieses Token wird in Base64 kodiert, dann in XML dekodiert und durch eine SOAP-Anfrage an eine vom Angreifer kontrollierte URL validiert.

Dann auf dem vom Angreifer eingerichteten und kontrollierten Server die Validierungsanfragen positiv beantwortet, was dem Angreifer dann Administratorzugriff gibt, da Veeam seine Authentifizierungsanfrage akzeptiert hat.

Exploit Veeam Summoning Team Proof of Concept
Quelle: Summoning Team – Proof of Concept.

Der von Sina Kheirkha bereitgestellte Exploit beschreibt detailliert alle Schritte, die zur Ausnutzung der Sicherheitslücke erforderlich sind: Einrichtung eines Callback-Servers, Senden des Signatur-Tokens und Abrufen einer Liste von Dateiservern als Beweis für eine erfolgreiche Ausnutzung.

Sich gegen die Risiken schützen

In seinem Artikel vom 10. Juni warnt BleepingComputer, obwohl bislang noch keine Exploits gemeldet wurden. Die öffentliche Verfügbarkeit könnte die Situation schnell ändern, wenn die üblichen Updates und Schutzmaßnahmen nicht angewendet werden. Es ist daher sehr wichtig, dass Sie so schnell wie möglich auf Version 12.1.2.172 oder höher aktualisieren.

In der Zwischenzeit sollten all diejenigen, die den Patch nicht einspielen können, folgende Vorsichtsmaßnahmen ergreifen:

  • Beschränken Sie den Netzwerkzugriff auf ausschließlich vertrauenswürdige IP-Adressen, um den Zugriff auf VBEM zu beschränken.
  • Implementieren Sie Firewall-Regeln, um unbefugte Zugriffe auf Ports zu blockieren, die von Veeam-Diensten verwendet werden.
  • Sichern Sie die Authentifizierung für alle Konten, die auf VBEM zugreifen, indem Sie z. B. eine Multi-Faktor-Authentifizierung verwenden.
  • Setzen Sie eine Firewall ein, um bösartige Anfragen, die auf VBEM abzielen, zu erkennen und zu blockieren.
  • Kontrollieren und prüfen Sie regelmäßig die Zugriffsprotokolle, um nicht autorisierte Versuche zu erkennen und Warnungen einzurichten.
  • Isolieren Sie den Server von anderen Systemen im Netzwerk, um das Risiko einer Kompromittierung zu verringern.

Um Ausbeutungsversuche zu erkennen, empfiehlt Sina Kheirkha schließlich, die folgende Protokolldatei zu analysieren:

C:\ProgramData\Veeam\Backup\Svc.VeeamRestAPI.log

Suchen Sie nach ‚Validating Single Sign-On token. Service enpoint URL:‚ innerhalb dieser Datei und wenn Sie es sehen, bedeutet dies, dass Sie einen Exploit-Versuch hatten.

Analyse du journal Veeam, recherche des preuves de tentative d'exploitation
Quelle: Summoning Team

Referenzen und Analysen (auf Englisch) :

Bypassing Veeam Authentication CVE-2024-29849 (summoning.team).

Exploit for critical Veeam auth bypass available, patch now (bleepingcomputer.com).

Veeam Backup Enterprise Manager Schwachstellen(CVE-2024-29849, CVE-2024-29850, CVE-2024-29851, CVE-2024-29852) (veeam.com)

Release-Informationen für Veeam Backup & Replication 12.1 und Updates (veeam.com)

Picture of Florent Chassignol
Florent Chassignol

Partager cet article

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2025 SOS RANSOMWARE & RECOVEO TECHNOLOGY GROUP | Made by Tell It