Veeam Enterprise Manager sérülékenység – CVSS 9.8/10

A szoftvereket még emberek írják és természetesen mindenben van valami bug, mindenben van valami olyan elrejtve, amire a fejesztő nem gondolt, nem kezelt megfelelően. Mikor ezek kiderülnek, legyen a felfedezője a gyártó maga vagy valamilyen külső fél, nagyon fontos annak megfelelő kezelése.

Az olyan hozzáállás, mint a “nehéz kihasználni, nem annyira kritikus bug ” vagy a “nem használja senki a termékünket és ezért nem annyira kritikus”, egyből annak indikátorai, hogy a terméket ki kell vezetni.

Történt ez most a Veeam-mel, annak Enterprise Manager termékével, amiről 2024.05.21-én jelent meg egy bejegyzés. (CVE-2024-29849). A hivatalos oldalon nem részletezik túl, de elég nagy problémát szummáz ez a mondat: “This vulnerability in Veeam Backup Enterprise Manager allows an unauthenticated attacker to log in to the Veeam Backup Enterprise Manager web interface as any user.”

Persze nem írják le azt, hogy mégis hogyan történik egy ilyen támadás viszont azért az elég erős, hogy amúgy a security, a ransomware ellen, magát a jobb felső Gartner négyzetbe helyező gyártónál egyáltalán ilyen előfordulhat.

A The Register is írt róla és bár nem ismerem a forrást, aki nyilatkozott – és nincs náluk megjelölve sem – de amit ott írnak az kiverte a biztosítékot.

“Because of our immutable backups and/or four-eyes authorization, the threat actor would receive an access denied error upon attempting to delete backups,” said a spokesperson.

https://www.theregister.com/2024/05/23/veeam_critical_vulnerability_backups

Tessék? Az immutable backup az remek, csak éppen ha valaki nem használ immutable repository-t, akkor neki ez nem jelent védelmet a sérülékenységgel szemben. Sőt, attól hogy maga a mentési kópia nem törölhető le, attól még a mentési feladat letörölhető. Nyilván két mentési feladatnál ez nem nagy tétel, de ha valahol feladatok százai vannak, akkor ez legalább akkora probléma, hiszen ezeket újra létre kell hozogatni – vagy éppen visszaállítani konfigurációs mentésből.

A four-eyes authorization egy megoldás persze, de nem túl sok helyen van bekapcsolva.

A Veeam oldalán egyébként a keretes rész szintén érdekes.

Tehát amúgy is opcionális elem az Enterprise Manager, szóval lehet fel sincs téve sok ügyfélnél. Ez mondjuk pont igaz, csak éppen azt felejti el a gyártó, hogy az összes VMware Cloud Director alapú felhőszolgáltatónál – akik Veeam-mel építették meg az IaaS mentést – kötelező az Enterprise Manager. Azért kötelező, mert a Cloud Director bizony az Enterprise Manager-el hajtatja végre a mentési feladatok létrehozását, a visszaállítási igények kiszolgálását. A Cloud Director felülete nem képes a Backup and Replication szerverrel dolgozni, a felületről indított interakciókban.

Jó vagy rossz, az Enterprise Manager egy Microsoft Windows operációs rendszert igényel, IIS szolgáltatással és azon fut maga a szolgáltatás. Tehát amellett, hogy egy halmozottan hátrányos komponens, még Microsoft Windows-on is fut.

Azzal nem teljesen értek egyet amúgy, hogy hát opcionális. Vannak funkciói, amelyek nélkül van olyan eset, mikor élni nem lehet, még úgy sem, hogy valaki nem Cloud Director alapú szolgáltató. Ilyen képesség például az, hogy több Veeam Backup and Replication instanciát csak úgy lehet közös nézetbe fogni, hogy azokat azonos Enterprise Manager-hez csatoljuk. A self service alapú működés is csak EM-en keresztül lehetséges, ahogyan a mentéseket titkosító kulcsok elvesztésének kezelése is – ha be lett állítva. Tehát nem mondanám haszontalan komponensnek és nyilván nincs mindenkinél feltelepítve, de ahol fel van, azok pont nem a kis ügyfelek, illetve ott van is komoly oka annak, hogy miért vannak feltelepítve.

Komoly-e tehát ez a sérülékenység? Az. Iszonyatosan komoly és van rá javítás, de én azt várnám, hogy nem ilyen lekezelő kommentet vág oda a gyártó, hanem térdre ereszkedik és szépen csendben kiadja a hotfix-et.