Wallarmレポート： Veeamがバックアップマネージャーの重大なセキュリティー欠陥を修正

Wallarmは、バックアップソリューションの大手プロバイダーであるVeeamが公開した、Veeam Backup Enterprise Manager （VBEM） ウェブインターフェイスの重大な脆弱性に焦点を当てた最新レポートを紹介した。CVE-2024-29849と呼ばれるこの欠陥により、認証されていない攻撃者が任意のユーザーとしてウェブインターフェイスにログインできるようになる。CVSS V3評価は9.8で、この脆弱性はVBEMプラットフォームを使用している組織に重大なリスクをもたらす。このウェブベースのプラットフォームは、管理者がウェブインターフェイスコンソールを介してVeeam Backup and Replicationのインストールを管理できるように設計されている。その結果、この脆弱性が悪用されると、機密データへの不正アクセス、データ変更、または運用の中断につながる可能性がある。

この脆弱性はSummoning Teamによって発見され、同チームはその調査結果を包括的な調査レポートで詳しく述べている。この欠陥は、メインウェブアプリケーションのREST APIサーバーとして機能するTCPポート9398で発見された。このエクスプロイトでは、特別に細工されたVMwareシングルサインオントークンを、Veeam APIを介して脆弱なサービスに送信する。このトークンには、管理者ユーザーを偽装する認証要求と、Veeamが検証できないシングルサインオンサービスURLが含まれている。攻撃者の不正サーバーは検証要求に肯定的に応答し、Veeamを騙して認証要求を受け入れさせ、攻撃者に管理者アクセスを許可する。

CVE-2024-29849に加えて、Veeamは同じ製品に影響を及ぼす他の3つの脆弱性も公開した。これには、NTLMリレーによるアカウント乗っ取りを可能にするCVE-2024-29850（CVSSスコア8.8）、Veeam Backup Enterprise Managerサービスアカウントがデフォルトのローカルシステムアカウントとして実行するように設定されていない場合にユーザーがそのNTLMハッシュを盗むことを可能にするCVE-2024-29851（CVSSスコア7.2）、およびバックアップセッション ログの読み取り権限を許可するCVE-2024-29852（CVSSスコア2.7）が含まれる。

Veeamは、ソフトウェアバージョン12.1.2.172でこれらの脆弱性を全て修正した。CVE-2024-29849が悪用されたという報告はないが、機能的なエクスプロイトが公開されれば、状況は急速に変化する可能性がある。従って、ユーザーはできるだけ早くバージョン12.1.2.172以降に更新することを強くおすすめする。Veeamは、Veeam Backup Enterprise Managerのインストールはオプションであり、このインストールがない環境はこれらの脆弱性の影響を受けないことを明確にしている。

出典：Wallarm