Kritická chyba Veeam Backup Enterprise Manager umožňuje obejít příhlášení
Zranitelnost, sledovaná jako CVE-2024-29849, může neautentifikovanému útočníkovi umožnit přihlásit se do Veeam Backup Enterprise Manager jako libovolný uživatel
Uživatelé nástroje Veeam Backup Enterprise Manager jsou vyzýváni k aktualizaci na nejnovější verzi v návaznosti na objevení kritické bezpečnostní chyby, která by mohla protivníkovi umožnit obejít přihlášení.
Zranitelnost, sledovaná jako CVE-2024-29849 (skóre CVSS: 9,8), může neautentifikovanému útočníkovi umožnit přihlásit se do webového rozhraní nástroje Veeam Backup Enterprise Manager jako libovolný uživatel.
Všechny chyby byly odstraněny ve verzi 12.1.2.172. Společnost Veeam však upozornila, že nasazení nástroje Veeam Backup Enterprise Manager je volitelné a že prostředí, která jej nemají nainstalovaný, nejsou chybami ovlivněna.
V posledních týdnech společnost také vyřešila chybu lokálního zvýšení oprávnění, která postihuje Veeam Agent pro Windows(CVE-2024-29853, CVSS skóre: 7,2), a kritickou chybu vzdáleného spuštění kódu, která postihuje Veeam Service Provider Console(CVE-2024-29212, CVSS skóre: 9,9).
Bezpečnostní chyby v softwaru Veeam Backup & Replication(CVE-2023-27532, skóre CVSS: 7,5) byly zneužity skupinami jako jsou FIN7 a Cuba, k nasazení ransomwaru, a proto je nutné, aby uživatelé rychle provedli update.
