Vulnerabilidad crítica en Veeam
Existen pruebas de conceptos públicos y exploit conocidos; representando un riesgo significativo para las organizaciones que dependen de Veeam para la copia de seguridad y la protección de datos.
Detalles técnicos
La vulnerabilidad surge debido a una falla en el proceso de deserialización en la función ProcessMessage de la clase Veeam.Common.Remoting.CBinaryServerFormatterSink. La ausencia de la clase System.Runtime.Remoting.ObjRef en la lista negra permite la ejecución remota de código al aprovechar una clase permitida (CDbCryptoKeyInfo) y anidar un BinaryFormatter explotable. Esto permite a un atacante obtener privilegios a nivel de sistema.
Productos afectados
Veeam Backup & Replication (versiones anteriores a 12.1.2.172).
Remediación
Se recomienda actualizar Veeam Backup & Replication a la versión 12.2.0.334 o superior, donde la vulnerabilidad ha sido corregida junto con cinco más de menor severidad. Las actualizaciones están disponibles en el portal del proveedor.
Mitigación
Mientras se implementa la actualización, se recomienda:
- Restringir el acceso a los servicios de Veeam Backup & Replication para limitar la exposición a redes internas seguras.
- Monitorear y bloquear tráfico sospechoso hacia el puerto 6170, utilizado por el servicio vulnerable.
Recomendaciones
Se recomienda actualizar inmediatamente a la versión corregida de Veeam Backup & Replication, así como revisar y auditar los sistemas para detectar posibles compromisos. Asimismo, es recomendable implementar buenas prácticas de seguridad, como el principio de mínimo privilegio y la segmentación de redes.
Mantenerse informado sobre las actualizaciones y parches de seguridad proporcionados por Veeam y otras fuentes confiables.