Veeam Software emitió un boletín de seguridad crítico para septiembre de 2024, revelando una serie de vulnerabilidades de alto riesgo que afectan a varios de sus productos más utilizados, incluyendo Veeam Backup & Replication, Veeam Agent for Linux, Veeam ONE y Veeam Service Provider Console.
La vulnerabilidad más alarmante, catalogada como CVE-2024-40711, permite la ejecución remota de código sin necesidad de autenticación en Veeam Backup & Replication. Con una calificación CVSS v3.1 de 9.8, esta falla representa un grave riesgo para la seguridad de los sistemas que utilizan versiones afectadas del software. Asimismo, se han identificado otras vulnerabilidades significativas: CVE-2024-40710, que comprende una serie de fallos de alta gravedad que permiten la ejecución remota de código y la extracción de información sensible; CVE-2024-39718, que permite a usuarios con bajos privilegios eliminar archivos remotamente; y CVE-2024-40714, relacionada con la validación de certificados TLS, lo que podría facilitar la interceptación de credenciales durante operaciones de restauración.
En Veeam Agent for Linux, se ha detectado una vulnerabilidad considerable (CVE-2024-40709) que permite a usuarios locales con bajos privilegios escalar sus permisos hasta alcanzar el nivel de root, lo que representa una amenaza significativa para la integridad y seguridad del sistema.
No menos preocupantes son los fallos en Veeam ONE, la solución de monitorización y análisis de la compañía. Entre las vulnerabilidades se encuentran CVE-2024-42024, que permite la ejecución remota de código en máquinas con Veeam ONE Agent instalado, y CVE-2024-42019, que posibilita el acceso al hash NTLM de la cuenta de servicio de Veeam Reporter Service.
Respecto a Veeam Service Provider Console, el boletín advierte sobre vulnerabilidades críticas como CVE-2024-38650 y CVE-2024-39714, que permiten a atacantes con bajos privilegios acceder a información sensible y ejecutar código remoto en el servidor VSPC.
Como respuesta a estos riesgos, Veeam ha lanzado actualizaciones para todos los productos afectados. Las versiones disponibles incluyen Veeam Backup & Replication (12.2, build 12.2.0.334), Veeam Agent for Linux (6.2, build 6.2.0.101), Veeam ONE (12.2, build 12.2.0.4093) y Veeam Service Provider Console (8.1, build 8.1.0.21377). Se recomienda encarecidamente a todos los usuarios de productos Veeam actualizar sus sistemas a las versiones más recientes para mitigar estos riesgos de seguridad.
