VietNetwork.Vn

Veeam đã tung ra các bản cập nhật bảo mật để giải quyết tổng cộng 18 lỗ hổng bảo mật ảnh hưởng đến các sản phẩm phần mềm của mình, bao gồm năm lỗ hổng nghiêm trọng có thể dẫn đến thực thi mã từ xa.


Danh sách các thiếu sót được liệt kê dưới đây:

• CVE-2024-40711 (Điểm CVSS: 9,8) - Lỗ hổng bảo mật trong Veeam Backup & Replication cho phép thực thi mã từ xa mà không cần xác thực.
• CVE-2024-42024 (Điểm CVSS: 9.1) - Lỗ hổng trong Veeam ONE cho phép kẻ tấn công nắm giữ thông tin đăng nhập tài khoản dịch vụ Agent thực hiện thực thi mã từ xa trên máy cơ sở
• CVE-2024-42019 (Điểm CVSS: 9.0) - Lỗ hổng trong Veeam ONE cho phép kẻ tấn công truy cập vào hàm băm NTLM của tài khoản dịch vụ Veeam Reporter Service
• CVE-2024-38650 (Điểm CVSS: 9,9) - Lỗ hổng trong Veeam Service Provider Console (VPSC) cho phép kẻ tấn công có đặc quyền thấp truy cập vào hàm băm NTLM của tài khoản dịch vụ trên máy chủ
• CVE-2024-39714 (Điểm CVSS: 9,9) - Lỗ hổng trong VPSC cho phép người dùng có đặc quyền thấp tải các tệp tùy ý lên máy chủ, dẫn đến thực thi mã từ xa trên máy chủ

Ngoài ra, bản cập nhật tháng 9 năm 2024 còn giải quyết 13 lỗ hổng nghiêm trọng khác có thể cho phép leo thang đặc quyền, bỏ qua xác thực đa yếu tố (MFA) và thực thi mã với quyền cao hơn.

Tất cả các vấn đề đã được giải quyết trong các phiên bản dưới đây -

• Veeam Backup & Replication 12.2 (bản dựng 12.2.0.334)
• Veeam Agent cho Linux 6.2 (bản dựng 6.2.0.101)
• Veeam ONE v12.2 (bản dựng 12.2.0.4093)
• Veeam Service Provider Console v8.1 (bản dựng 8.1.0.21377)
• Veeam Backup cho Nutanix AHV Plug-In v12.6.0.632
• Veeam Backup cho Oracle Linux Virtualization Manager và Red Hat Virtualization Plug-In v12.5.0.299

Do phần mềm Veeam có nhiều lỗ hổng nên người dùng trở thành mục tiêu béo bở cho các tác nhân đe dọa phát tán phần mềm tống tiền, người dùng được khuyên nên cập nhật lên phiên bản mới nhất càng sớm càng tốt để giảm thiểu các mối đe dọa tiềm ẩn.