Veeam a publié mises à jour de sécurité pour corriger quatre failles dans sa plateforme de surveillance et d’analyse informatique ONE, dont deux sont jugées critiques en termes de gravité.
La liste des vulnérabilités est la suivante –
- CVE-2023-38547 (score CVSS : 9,9) – Une faille non spécifiée qui peut être exploitée par un utilisateur non authentifié pour obtenir des informations sur la connexion au serveur SQL que Veeam ONE utilise pour accéder à sa base de données de configuration, entraînant l’exécution de code à distance sur le serveur SQL.
- CVE-2023-38548 (score CVSS : 9,8) – Une faille dans Veeam ONE qui permet à un utilisateur non privilégié ayant accès au Veeam ONE Web Client d’obtenir le hachage NTLM du compte utilisé par le Veeam ONE Reporting Service.
- CVE-2023-38549 (score CVSS : 4,5) – Une vulnérabilité de cross-site scripting (XSS) qui permet à un utilisateur doté du rôle Veeam ONE Power User d’obtenir le jeton d’accès d’un utilisateur doté du rôle Veeam ONE Administrator.
- CVE-2023-41723 (score CVSS : 4,3) – Une vulnérabilité dans Veeam ONE qui permet à un utilisateur doté du rôle d’utilisateur en lecture seule Veeam ONE d’afficher la planification du tableau de bord.
Alors que CVE-2023-38547, CVE-2023-38548 et CVE-2023-41723 impactent les versions 11, 11a, 12 de Veeam ONE, CVE-2023-38548 affecte uniquement Veeam ONE 12. Les correctifs pour ces problèmes sont disponibles dans les versions ci-dessous. –
- Veeam ONE 11 (11.0.0.1379)
- Veeam ONE 11a (11.0.1.1880)
- Veeam ONE 12 P20230314 (12.0.1.2591)
Au cours des derniers mois, des failles critiques du logiciel de sauvegarde Veeam ont été exploitées par plusieurs acteurs malveillants, notamment les ransomwares FIN7 et BlackCat, pour distribuer des logiciels malveillants.
Il est recommandé aux utilisateurs exécutant les versions concernées d’arrêter les services Veeam ONE Monitoring and Reporting, de remplacer les fichiers existants par les fichiers fournis dans le correctif et de redémarrer les deux services.