Veeam ha lanzado actualizaciones de seguridad para abordar una falla crítica que afecta a la Consola del Proveedor de Servicios (VSPC) y que podría allanar el camino para la ejecución remota de código en instancias susceptibles.
La vulnerabilidad, rastreada como CVE-2024-42448, tiene una puntuación CVSS de 9,9 de un máximo de 10,0. La compañía señaló que el error fue identificado durante pruebas internas.
“Desde la máquina del agente de administración VSPC, bajo la condición de que el agente de administración esté autorizado en el servidor, es posible realizar la ejecución remota de código (RCE) en la máquina del servidor VSPC”, Veeam dicho en un aviso.
Otro defecto parcheado por Veeam se relaciona con una vulnerabilidad (CVE-2024-42449, puntuación CVSS: 7.1) que podría usarse para filtrar un hash NTLM de la cuenta de servicio del servidor VSPC y eliminar archivos en la máquina del servidor VSPC.
Ambas vulnerabilidades identificadas afectan a Veeam Service Provider Console 8.1.0.21377 y a todas las versiones anteriores de las compilaciones 7 y 8. Se han solucionado en la versión 8.1.0.21999.
Veeam dijo además que no existen mitigaciones para solucionar los problemas y que la única solución es actualizar a la última versión del software.
Dado que los actores de amenazas abusan de las fallas en los productos Veeam para implementar ransomware, es imperativo que los usuarios tomen medidas para proteger sus instancias lo antes posible.