Patchez Veeam ONE pour vous protéger de 4 vulnérabilités, dont 2 critiques !
La solution de supervision d'infrastructure IT Veeam ONE est affectée par plusieurs failles de sécurité, dont deux critiques. Quels sont les risques ? Voici ce qu'il faut savoir sur ces vulnérabilités.
L'éditeur Veeam a corrigé 4 failles de sécurité dans sa solution Veeam ONE :
- CVE-2023-38547 - Faille de sécurité critique avec un score CVSS de 9.9 sur 10
- CVE-2023-38548 - Faille de sécurité critique avec un score CVSS de 9.8 sur 10
- CVE-2023-38549 - Faille de sécurité de niveau intermédiaire avec un score CVSS de 4.5 sur 10
- CVE-2023-41723 - Faille de sécurité de niveau intermédiaire avec un score CVSS de 4.3 sur 10
Les deux vulnérabilités critiques
Veeam a mis en ligne un bulletin de sécurité pour apporter des précisions sur cet ensemble de vulnérabilités, y compris sur les deux failles de sécurité critiques.
Tout d'abord, la faille de sécurité CVE-2023-38547 peut être exploitée pour exécuter du code à distance sur la machine SQL Server qui héberge la base de données de Veeam ONE. "Une vulnérabilité dans Veeam ONE permet à un utilisateur non authentifié d'obtenir des informations sur la connexion au serveur SQL que Veeam ONE utilise pour accéder à sa base de données de configuration.", précise Veeam.
Quant à la faille de sécurité CVE-2023-38548, un attaquant peut l'exploiter pour récupérer le hash NTLM du compte utilisé par le Reporting Service de Veeam ONE. "Une vulnérabilité dans Veeam ONE permet à un utilisateur non privilégié ayant accès au Web Client de Veeam ONE d'acquérir le hash NTLM du compte utilisé par le Reporting Service de Veeam ONE .", précise Veeam sur son site.
Comment se protéger ?
Les versions de Veeam ONE affectées par ces failles de sécurité sont les suivantes : Veeam ONE 11, 11a, 12. À l'exception de la faille critique CVE-2023-38548 qui affecte uniquement Veeam ONE 12.
Quoi qu'il en soit, pour vous protéger, vous devez patcher votre instance Veeam ONE. L'éditeur Veeam a mis en ligne plusieurs correctifs associés aux numéros de version suivants :
- Veeam ONE 12 P20230314 (12.0.1.2591)
- Veeam ONE 11a (11.0.1.1880)
- Veeam ONE 11 (11.0.0.1379)
Pour Veeam ONE 12, il est précisé : "Ce correctif n'est pas compatible avec Veeam ONE 12 GA (build 12.0.0.2498). Si Veeam ONE 12.0.0.2498 est installé, mettez à jour vers 12.0.1.2591 avant d'appliquer ce correctif."
Pour télécharger les correctifs et prendre connaissance de tous les détails, veuillez vous référer au bulletin de sécurité.