Un exploit de preuve de concept (PoC) pour une faille de contournement d’authentification de Veeam Backup Enterprise Manager identifiée comme CVE-2024-29849 est désormais accessible au public, ce qui rend urgent pour les administrateurs d’appliquer les dernières mises à jour de sécurité.

Veeam Backup Enterprise Manager (VBEM) est une plateforme Web permettant de gérer les installations Veeam Backup & Replication via une console Web. Il permet de contrôler les tâches de sauvegarde et d’effectuer des opérations de restauration sur l’infrastructure de sauvegarde d’une organisation et les déploiements à grande échelle.

Veeam a publié un bulletin de sécurité sur la faille critique le 21 mai, mettant en garde contre une vulnérabilité critique permettant aux attaquants distants non authentifiés de se connecter à l’interface Web de VBEM en tant qu’utilisateur.

Le fournisseur a exhorté ses clients à résoudre le problème en passant à la version 12.1.2.172 de VBEM, tout en partageant des conseils d’atténuation pour ceux qui ne peuvent pas appliquer la mise à jour immédiatement.

Détails de l’exploit
Dans un article technique de Sina Kheirkha, le chercheur en cybersécurité explique que la faille réside dans le ‘Veeam.Sauvegarde.Entreprise.Service de restauration.le service exe, qui écoute sur le port TCP 9398, fonctionne comme un serveur API REST pour l’application Web principale.

L’exploit implique l’envoi d’un jeton d’authentification unique VMware spécialement conçu au service vulnérable à l’aide de l’API Veeam.

Le jeton contient une demande d’authentification qui usurpe l’identité d’un utilisateur administrateur et une URL de service SSO que Veeam, surtout, ne vérifie pas.

Le jeton SSO codé en base64 est décodé et interprété sous forme XML pour vérifier sa validité via une requête SOAP à une URL contrôlée par un attaquant.

Ce serveur malveillant mis en place par l’attaquant répond positivement aux demandes de validation, Veeam accepte donc la demande d’authentification et donne un accès administrateur à l’attaquant.

Validation arbitraire du jeton d’authentification

L’exploit fourni montre toutes les étapes pour exploiter la vulnérabilité, y compris la configuration d’un serveur de rappel, l’envoi du jeton contrefait et la récupération d’une liste de serveurs de fichiers comme preuve d’une exploitation réussie.

Faire face aux risques
Bien qu’aucune exploitation sauvage de CVE-2024-29849 n’ait encore été signalée, la disponibilité publique d’un exploit fonctionnel pourrait changer cela en peu de temps. Par conséquent, la mise à jour vers la version 12.1.2.172 ou ultérieure dès que possible est essentielle.

Ceux qui ne peuvent pas patcher doivent suivre ces recommandations:

  • Limitez l’accès à l’interface Web VBEM en limitant l’accès au réseau aux seules adresses IP de confiance.
  • Implémentez des règles de pare-feu pour bloquer l’accès non autorisé aux ports utilisés par les services Veeam (par exemple, le port 9398 pour l’API REST).
  • Activez l’authentification multifacteur pour tous les comptes accédant à VBEM.
  • Déployez un pare-feu d’application Web pour détecter et bloquer les requêtes malveillantes ciblant VBEM.
  • Surveillez et auditez régulièrement les journaux d’accès pour détecter toute tentative d’accès suspecte ou non autorisée, et configurez des alertes pour les tentatives de connexion à partir d’adresses IP non fiables.
  • Isolez le serveur VBEM des autres systèmes critiques de votre réseau pour contenir le risque de mouvement latéral.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *