Se ha hecho público un exploit de prueba de concepto (PoC) para una vulnerabilidad de omisión de autenticación en Veeam Backup Enterprise Manager (VBEM), identificada como CVE-2024-29849, lo que subraya la urgencia para los administradores de sistemas de aplicar las últimas actualizaciones de seguridad.
Veeam Backup Enterprise Manager es una plataforma utilizada para gestionar instalaciones de Veeam Backup & Replication a través de una consola web. Esta herramienta es fundamental para controlar trabajos de respaldo y realizar operaciones de restauración en la infraestructura de respaldo de una organización.
El 21 de mayo, Veeam emitió un boletín de seguridad alertando sobre una vulnerabilidad crítica que permite a atacantes remotos no autenticados acceder a la interfaz web de VBEM como cualquier usuario. La empresa ha recomendado a sus clientes actualizar a la versión 12.1.2.172 de VBEM lo antes posible y ha proporcionado consejos de mitigación para aquellos que no puedan aplicar la actualización de inmediato.
En un análisis técnico realizado por Sina Kheirkha, investigador de ciberseguridad, se explicó que la vulnerabilidad reside en el servicio ‘Veeam.Backup.Enterprise.RestAPIService.exe’, que escucha en el puerto TCP 9398 y funciona como servidor API REST para la aplicación web principal.
El exploit consiste en enviar un token SSO (single-sign-on) de VMware especialmente manipulado al servicio vulnerable utilizando la API de Veeam. Este token incluye una solicitud de autenticación que suplanta a un usuario administrador y una URL del servicio SSO que Veeam no verifica.
El token SSO, codificado en base64, se decodifica e interpreta en forma de XML para verificar su validez mediante una solicitud SOAP a una URL controlada por el atacante. Este servidor malicioso responde positivamente a las solicitudes de validación, lo que permite a Veeam aceptar la solicitud de autenticación y otorgar acceso de administrador al atacante.
El exploit disponible demuestra todos los pasos necesarios para explotar la vulnerabilidad, incluyendo la configuración de un servidor de retorno, el envío del token manipulado y la obtención de una lista de servidores de archivos como prueba de la explotación exitosa.
Aunque no se han reportado aún explotaciones en entornos reales de la vulnerabilidad CVE-2024-29849, la disponibilidad pública de un exploit funcional podría cambiar esta situación rápidamente. Por lo tanto, es crítico actualizar a la versión 12.1.2.172 o posterior lo antes posible.
Para aquellos que no puedan aplicar el parche de inmediato, se recomiendan las siguientes medidas:
1. Limitar el acceso a la interfaz web de VBEM restringiendo el acceso de red solo a direcciones IP de confianza.
2. Implementar reglas de firewall para bloquear el acceso no autorizado a los puertos utilizados por los servicios de Veeam (por ejemplo, el puerto 9398 para la API REST).
3. Habilitar la autenticación multifactor para todas las cuentas que accedan a VBEM.
4. Desplegar un firewall de aplicaciones web para ayudar a detectar y bloquear solicitudes maliciosas dirigidas a VBEM.
5. Monitorizar y auditar regularmente los registros de acceso en busca de intentos de acceso sospechosos o no autorizados, y configurar alertas para intentos de inicio de sesión desde direcciones IP no confiables.
6. Aislar el servidor VBEM de otros sistemas críticos dentro de su red para contener el riesgo de movimientos laterales.
La rápida adopción de estas medidas puede ser crucial para proteger la infraestructura de respaldo de las organizaciones y evitar posibles brechas de seguridad.
Fuente: Bleeping Computer
