La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha adicional dos vulnerabilidades que afectan al software Veeam Backup & Replication a sus Vulnerabilidades conocidas explotadas (KEV) Catálogo, citando evidencia de explotación activa en la naturaleza.
Los defectos críticos ahora corregidos, rastreados como CVE-2022-26500 y CVE-2022-26501tienen una calificación de 9.8 en el sistema de puntuación CVSS y podrían aprovecharse para obtener el control de un sistema de destino.
«El Servicio de distribución de Veeam (TCP 9380 por defecto) permite a los usuarios no autenticados acceder a las funciones internas de la API», Veeam anotado en un aviso publicado en marzo de 2022. «Un atacante remoto puede enviar información a la API interna que puede conducir a la carga y ejecución de código malicioso».
Los problemas que afectan a las versiones 9.5, 10 y 11 del producto se han abordado en las versiones 10a y 11a. Se recomienda a los usuarios de Veeam Backup & Replication 9.5 que actualicen a una versión compatible.
A Nikita Petrov, investigador de seguridad de la firma rusa de ciberseguridad Positive Technologies, se le atribuye el descubrimiento y el informe de las debilidades.
«Creemos que estas vulnerabilidades serán explotadas en ataques reales y pondrán a muchas organizaciones en un riesgo significativo», Petrov dijo el 16 de marzo de 2022. «Por eso es importante instalar actualizaciones lo antes posible o al menos tomar medidas para detectar actividad anormal asociada con estos productos».
Los detalles sobre los ataques que explotan estas vulnerabilidades aún se desconocen, pero la empresa de ciberseguridad CloudSEK revelado en octubre que observó a varios actores de amenazas que anunciaban una «herramienta totalmente armada para la ejecución remota de código» que abusaba de las dos fallas.
Algunas de las posibles consecuencias de una explotación exitosa son la infección con ransomware, el robo de datos y la denegación de servicio, por lo que es imperativo que los usuarios apliquen las actualizaciones.