Se ha hecho público un exploit de prueba de concepto (PoC) para una vulnerabilidad de omisión de autenticación en Veeam Backup Enterprise Manager, identificada como CVE-2024-29849. Este hecho subraya la urgencia para que los administradores apliquen las últimas actualizaciones de seguridad.

Veeam Backup Enterprise Manager (VBEM) es una plataforma web utilizada para gestionar instalaciones de Veeam Backup & Replication a través de una consola web. Esta herramienta es fundamental para controlar trabajos de respaldo y realizar operaciones de restauración en la infraestructura de respaldo de una organización.

El 21 de mayo, Veeam emitió un boletín de seguridad alertando sobre una vulnerabilidad crítica que permite a atacantes remotos no autenticados acceder a la interfaz web de VBEM como cualquier usuario. La empresa instó a sus clientes a actualizar a la versión 12.1.2.172 de VBEM y proporcionó consejos de mitigación para aquellos que no puedan aplicar la actualización de inmediato.

Detalles del Exploit

En un análisis técnico realizado por Sina Kheirkha, investigador de ciberseguridad, se explica que la vulnerabilidad reside en el servicio ‘Veeam.Backup.Enterprise.RestAPIService.exe’, que escucha en el puerto TCP 9398 y funciona como servidor API REST para la aplicación web principal.

El exploit consiste en enviar un token SSO (single-sign-on) de VMware especialmente manipulado al servicio vulnerable utilizando la API de Veeam. El token incluye una solicitud de autenticación que suplanta a un usuario administrador y una URL del servicio SSO que Veeam no verifica.

El token SSO, codificado en base64, se decodifica e interpreta en forma de XML para verificar su validez mediante una solicitud SOAP a una URL controlada por el atacante. Este servidor malicioso responde positivamente a las solicitudes de validación, lo que permite a Veeam aceptar la solicitud de autenticación y otorgar acceso de administrador al atacante.

El exploit disponible demuestra todos los pasos necesarios para explotar la vulnerabilidad, incluyendo la configuración de un servidor de retorno, el envío del token manipulado y la obtención de una lista de servidores de archivos como prueba de la explotación exitosa.

Mitigación de Riesgos

Aunque no se han reportado aún explotaciones en entornos reales de la vulnerabilidad CVE-2024-29849, la disponibilidad pública de un exploit funcional podría cambiar esta situación rápidamente. Por lo tanto, es crítico actualizar a la versión 12.1.2.172 o posterior lo antes posible.

Para aquellos que no puedan aplicar el parche de inmediato, se recomiendan las siguientes medidas:

1. Limitar el acceso a la interfaz web de VBEM restringiendo el acceso de red solo a direcciones IP de confianza.
2. Implementar reglas de firewall para bloquear el acceso no autorizado a los puertos utilizados por los servicios de Veeam (por ejemplo, el puerto 9398 para la API REST).
3. Habilitar la autenticación multifactor para todas las cuentas que accedan a VBEM.
4. Desplegar un firewall de aplicaciones web para ayudar a detectar y bloquear solicitudes maliciosas dirigidas a VBEM.
5. Monitorizar y auditar regularmente los registros de acceso en busca de intentos de acceso sospechosos o no autorizados, y configurar alertas para intentos de inicio de sesión desde direcciones IP no confiables.
6. Aislar el servidor VBEM de otros sistemas críticos dentro de su red para contener el riesgo de movimientos laterales.

La rápida adopción de estas medidas puede ser crucial para proteger la infraestructura de respaldo de las organizaciones y evitar posibles brechas de seguridad.

Fuente: Bleeping Computer