Un boletín de seguridad publicado por Veeam el 21 de mayo de 2024 advertía a los usuarios de una vulnerabilidad crítica en Veeam Backup Enterprise Manager (VBEM). Ya está disponible públicamente un exploit de prueba de concepto (PoC) para este fallo de omisión de autenticación. La vulnerabilidad CVE-2024-29849 permite a un atacante saltarse la autenticación y tomar el control del sistema. Es urgente que los administradores apliquen las últimas actualizaciones de seguridad…
¿Qué es Veeam Backup Enterprise Manager y qué sistemas están afectados?
Veeam Backup Enterprise Manager (VBEM) es una plataforma basada en web con una consola utilizada para gestionar las instalaciones de Veeam Backup & Replication. A través de esta única consola se pueden gestionar múltiples servidores de Veeam Backup & Replication. Permite a los administradores controlar los trabajos de backup y realizar operaciones de restauración dentro de la infraestructura de su organización, o lanzar despliegues a gran escala.
Veeam, en su boletín de seguridad del 21 de mayo, actualizado el 10 de junio, notificó que el despliegue de VBEM es opcional y que no está instalado y activado por defecto en todos los entornos. Si esta aplicación adicional no está desplegada en su entorno, no se verá afectado por estas vulnerabilidades.
No obstante, Veeam proporciona el siguiente consejo:«Puede identificar si VBEM está instalado comprobando la presencia del servicio Veeam Backup Enterprise Manager o ejecutando el siguiente comando de PowerShell en el servidor de Veeam Backup para ver si VBR informa de que está gestionado por una implementación de VBEM».
Get-VBRServer | Out-Null [Veeam.Backup.Core.SBackupOptions]::GetEnterpriseServerInfo() | Format-ListLa vulnerabilidad de seguridad de omisión de autenticación: CVE-2024-29849
La vulnerabilidad crítica CVE-2024-29849 permite a un atacante remoto eludir la autenticación, conectarse a la interfaz web de VBEM y tomar el control del sistema. Están afectadas todas las versiones anteriores a la 12.1.2.172 que se implementen a través de Veeam Backup Enterprise Manager.
Veeam ha asignado una puntuación CVSS de 9,8/10 al fallo de seguridad crítico CVE-2024-29849. También advirtió: «Esta vulnerabilidad en Veeam Backup Enterprise Manager permite a un atacante no autenticado iniciar sesión en la interfaz web de Veeam Backup Enterprise Manager como cualquier usuario».
Para resolver el problema, Veeam ha invitado a sus clientes a actualizar a la versión 12.1.2.172 de VBEM, que está disponible para su descarga desde su web oficial. Para aquellos que no puedan parchear rápidamente, Veeam recomienda desactivar los siguientes servicios para mitigar la vulnerabilidad:
- VeeamEnterpriseManagerSvc (Veeam Backup Enterprise Manager)
- VeeamRESTSvc (API RESTful de Veeam)
Nota de Veeam: «En los servidores en los que estén instalados VBEM y VBR, habrá dos servicios con nombres similares. El servicio denominado ‘Veeam Backup Server RESTful API Service’ pertenece al software Veeam Backup & Replication y no es necesario detenerlo como parte de esta mitigación.»
El editor señala que la desactivación de estos servicios no impedirá la instalación de la actualización 12.1.2, pero que después de la actualización, los servicios tendrán que ser reiniciados para que se inicien automáticamente. Por último, también recomienda desinstalar VBEM si está instalado y no se utiliza, para eliminar el vector de ataque.
Al mismo tiempo, Veeam también ha corregido varias vulnerabilidades de alta gravedad en VBEM.
- El fallo CVE-2024-29850 (puntuación CVSS de 8,8/10) permite tomar el control de una cuenta a través de un relé NTLM.
- El fallo CVE-2024-29851 (puntuación CVSS de 7,2 /10) permite a usuarios con privilegios elevados robar el hash NTLM de la cuenta de servicio de Veeam Backup Enterprise Manager si no está configurada para ejecutarse como la cuenta predeterminada del sistema local.
- El fallo CVE-2024-29852 (puntuación CVSS de 2,7 /10) es una vulnerabilidad de bajo nivel que permite a un atacante con privilegios elevados leer los registros de sesión de copia de seguridad.
Detalles del exploit
El investigador en ciberseguridad Sina Kheirkha (@SinSinology) ha publicado un artículo técnico en Summoning Team. En él, explica que el problema radica en el servicio ‘Veeam.Backup.Enterprise.RestAPIService.exe ‘, que se instala al instalar el software Veeam Enterprise Manager.
Este servicio, que escucha en el puerto TCP 9398, funciona como un servidor REST API para la aplicación web principal. En el contexto de Veeam Backup Enterprise Manager, esto permite a los usuarios y administradores interactuar con el sistema de backup a través de peticiones HTTP estandarizadas, para realizar operaciones como la gestión de backups, recuperación de puntos de restauración y otras funciones administrativas.
En su artículo, el investigador escribe al principio de su análisis: «Cuando empecé a analizar esta vulnerabilidad, al principio me decepcionó un poco la poca información que proporcionaba Veeam, contentándose con decir que se puede eludir la autenticación y poco más, sin embargo, sabiendo que se trata de un problema de autenticación y que la mitigación sugiere que el problema está relacionado con los servicios «VeeamEnterpriseManagerSvc» o «VeeamRESTSvc», comencé mi rutina de diferenciación de parches y me di cuenta del punto de entrada, introduciré VeeamRESTSvc también conocido como Veeam. Backup.Enterprise.RestAPIService.exe».
«Este servicio, que se instala cuando se instala el software Veeam Enterprise Manager, escucha en el puerto TCP/9398 y, como su nombre indica, es un servidor REST API, que en realidad es una versión API de la aplicación web principal, que está en el puerto TCP/9443», explica el investigador de ciberseguridad.
El exploit se dirige a la API de Veeam enviando un token de inicio de sesión único (SSO) de VMware especialmente diseñado al servicio vulnerable. El experto envió un token que contiene una solicitud de autenticación que suplanta a un administrador y utiliza una URL de servicio SSO que Veeam no verificó.
Este token se codifica en base64, luego se descodifica en XML y se valida mediante una solicitud SOAP a una URL controlada por el atacante.
El servidor configurado y controlado por el atacante responde positivamente a las solicitudes de validación, lo que le da al atacante acceso de administrador ya que Veeam ha aceptado su solicitud de autenticación.
El exploit proporcionado por Sina Kheirkha detalla todos los pasos necesarios para explotar esta vulnerabilidad: configuración de un servidor de devolución de llamada, envío del token de firma y recuperación de una lista de servidores de archivos como prueba del éxito de la explotación.
Protegerse contra los riesgos
En su artículo del 10 de junio, BleepingComputer nos advierte, aunque hasta la fecha no se ha informado de ningún exploit. Este lanzamiento público podría cambiar rápidamente la situación si no se aplican las actualizaciones y protecciones habituales. Por lo tanto, es esencial actualizar lo antes posible a la versión 12.1.2.172 o a una posterior.
Mientras tanto, si no puede aplicar el parche, le recomendamos que tome las siguientes precauciones:
- Restrinja el acceso a la red a direcciones IP de confianza para limitar el acceso a VBEM.
- Implemente reglas de cortafuegos para bloquear el acceso no autorizado a los puertos utilizados por los servicios de Veeam.
- Asegure la autenticación de todas las cuentas que accedan a VBEM mediante autenticación multifactor, por ejemplo.
- Despliegue un cortafuegos para detectar y bloquear solicitudes maliciosas dirigidas a VBEM.
- Supervise y audite periódicamente los registros de acceso para detectar intentos no autorizados y establecer alertas.
- Aislar el servidor de otros sistemas de la red para limitar el riesgo de compromiso.
Por último, para detectar cualquier intento de explotar el sistema, Sina Kheirkha recomienda analizar el siguiente archivo de registro:
C:ProgramDataVeeamBackupSvc.VeeamRestAPI.logBusca‘Validating Single Sign-On token. Service enpoint URL:‘ dentro de este archivo y si lo ves, significa que has tenido un intento de exploit.
Referencias y análisis :
Eludir la autenticación de Veeam CVE-2024-29849 (summoning.team)
Exploit para Veeam auth bypass crítico disponible, parche ahora (bleepingcomputer.com)
Información de la versión de Veeam Backup & Replication 12.1 y actualizaciones (veeam.com)
