Veeam Backup Enterprise Manager : un exploit PoC a été publié pour une faille de sécurité critique !
Vous utilisez Veeam Backup & Replication ainsi que Veeam Backup Enterprise Manager ? Sachez qu'un exploit PoC a été publié pour une faille de sécurité critique permettant à un attaquant d'outrepasser l'authentification. Faisons le point.
Pour rappel : Veeam Backup Enterprise Manager est une console Web de gestion et reporting pour la célèbre solution Veeam Backup & Replication. Elle offre l'avantage de permettre de gérer plusieurs instances Veeam à partir d'une console unique. Il est important de préciser qu'elle n'est pas activée par défaut, donc toutes les organisations ne sont pas exposées à ce risque de sécurité.
La faille de sécurité CVE-2024-29849 présente dans Veeam Backup Enterprise Manager a déjà été corrigée par Veeam puisqu'un bulletin de sécurité a été publié à son sujet le 21 mai 2024. Nous avions repris cette alerte de sécurité dans l'un de nos précédents articles pour vous avertir. Si vous n'avez pas encore fait le nécessaire pour vous protéger, il va être temps de passer à l'action : un exploit PoC a été publié pour cette vulnérabilité.
Un exploit PoC pour la CVE-2024-29849
Le chercheur en sécurité Sina Kheirkhah a mis en ligne un rapport technique au sujet de la faille de sécurité CVE-2024-29849. Ce rapport est accompagné par un exploit PoC publié sur son GitHub, et qui prend la forme d'un script Python.
Dans son rapport, il explique que la faille de sécurité se situe dans "Veeam.Backup.Enterprise.RestAPIService.exe" qui est en écoute sur le serveur, sur le port TCP 9398. D'un point de vue de l'application web principale, il agit comme un serveur API REST. L'exploitation consiste à envoyer un jeton de signature VMware (SSO) spécialement conçu au service vulnérable, en utilisant l'API de Veeam. Finalement, l'attaquant peut usurper l'identité d'un compte administrateur et accéder à l'application sans avoir besoin de s'authentifier.
Le rapport de Sina Kheirkhah est très détaillé et contient toutes les informations techniques nécessaires à la compréhension et l'exploitation de cette vulnérabilité.
Comment se protéger ?
La meilleure façon de se protéger, c'est d'installer le correctif de sécurité publié par Veeam. Le 21 mai 2024, l'éditeur américain a publié la version 12.1.2.172 pour corriger plusieurs vulnérabilités, dont celle-ci.
De plus, il semble judicieux de limiter à certaines adresses IP les accès à l'application sur le port TCP 9398, mais aussi d'activer le MFA sur l'ensemble des comptes de l'application. Enfin, si vous n'utilisez pas Veeam Backup Enterprise Manager, vous pouvez le désinstaller comme l'explique cette page de la documentation Veeam.
