Molteplici vulnerabilità in vari prodotti Veeam (AL02/240906/CSIRT-ITA)

Data:
6 Settembre 2024 09:26

Sintesi

Veeam ha reso noto, tramite un bollettino di sicurezza, la presenza di molteplici vulnerabilità in alcuni dei suoi prodotti, di cui 5 con gravità “critica”.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (66,54/100)¹.

Tipologia

Authentication Bypass
Arbitrary File Write/Read/Deletion
Information Disclosure
Privilege Escalation
Security Restrictions Bypass
Arbitrary Code Execution

Prodotti e versioni affette

Veeam

Backup & Replication
ONE
Service Provider Console
Agent for Linux
Backup for Nutanix AHV
Backup for Oracle Linux Virtualization Manager and Red Hat Virtualization

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta” e “critica”:

CVE-IDs
CVE-2024-40711	CVE-2024-40713	CVE-2024-40710	CVE-2024-39718
CVE-2024-40714	CVE-2024-40712	CVE-2024-40709	CVE-2024-42024
CVE-2024-42019	CVE-2024-42023	CVE-2024-42021	CVE-2024-42022
CVE-2024-42020	CVE-2024-38650	CVE-2024-39714	CVE-2024-39715
CVE-2024-38651	CVE-2024-40718

Riferimenti

https://www.veeam.com/kb4649

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.

CSIRT Toscana

CSIRT Toscana