Veeam telah mengirimkan pembaruan keamanan untuk mengatasi total 18 kelemahan keamanan yang memengaruhi produk perangkat lunaknya, termasuk lima kerentanan kritis yang dapat mengakibatkan eksekusi kode jarak jauh.
Daftar kekurangannya ada di bawah ini –
- CVE-2024-40711 (skor CVSS: 9.8) – Kerentanan dalam Veeam Backup & Replication yang memungkinkan eksekusi kode jarak jauh yang tidak diautentikasi.
- CVE-2024-42024 (skor CVSS: 9.1) – Kerentanan dalam Veeam ONE yang memungkinkan penyerang yang memiliki kredensial akun layanan Agen untuk melakukan eksekusi kode jarak jauh pada mesin yang mendasarinya
- CVE-2024-42019 (skor CVSS: 9.0) – Kerentanan di Veeam ONE yang memungkinkan penyerang mengakses hash NTLM dari akun layanan Veeam Reporter Service
- CVE-2024-38650 (skor CVSS: 9.9) – Kerentanan di Veeam Service Provider Console (VPSC) yang memungkinkan penyerang dengan hak istimewa rendah untuk mengakses hash NTLM dari akun layanan di server
- CVE-2024-39714 (skor CVSS: 9.9) – Kerentanan dalam VPSC yang memungkinkan pengguna dengan hak istimewa rendah untuk mengunggah file sembarangan ke server, yang mengakibatkan eksekusi kode jarak jauh di server
Selain itu, pembaruan September 2024 mengatasi 13 kelemahan lain dengan tingkat keparahan tinggi yang dapat memungkinkan peningkatan hak istimewa, melewati autentikasi multifaktor (MFA), dan mengeksekusi kode dengan izin yang lebih tinggi.
Semua masalah telah diatasi dalam versi di bawah ini –
- Veeam Backup & Replication 12.2 (versi 12.2.0.334)
- Agen Veeam untuk Linux 6.2 (versi 6.2.0.101)
- Veeam ONE v12.2 (versi 12.2.0.4093)
- Konsol Penyedia Layanan Veeam v8.1 (versi 8.1.0.21377)
- Veeam Backup untuk Plug-In Nutanix AHV v12.6.0.632
- Veeam Backup untuk Oracle Linux Virtualization Manager dan Plug-In Virtualisasi Red Hat v12.5.0.299
Dengan kelemahan pada perangkat lunak Veeam, pengguna menjadi target yang menguntungkan bagi pelaku ancaman untuk menyebarkan ransomware. Pengguna disarankan untuk memperbarui ke versi terbaru sesegera mungkin guna mengurangi potensi ancaman.