Kritische Sicherheitslücken in Veeam Backup & Replication und Veeam Agent - Updates verfügbar

16. März 2022

Beschreibung

Veeam hat Updates zu kritischen Sicherheitslücken in Veeam Backup & Replication sowie Veeam Agent for Microsoft Windows herausgegeben.

Veeam Backup & Replication

Veeam Distribution Service

Das Veeam Distribution Service (per Default auf tcp/9380) ist anfällig für Remote Code Execution.

CVE-Nummern: CVE-2022-26500, CVE-2022-26501

CVSS v3 Score: 9.8

Veeam.Backup.PSManager.exe

Die Komponente von Veeam Backup & Replication für Microsoft System Center Virtual Machine Manager (SCVMM) kann missbraucht werden, um auch nicht-administrativen Usern Code Execution zu ermöglichen. Die Komponente Veeam.Backup.PSManager.exe läuft - so aktiviert - per Default auf tcp/8732.

CVE-Nummer: CVE-2022-26504

CVSS v3 Score: 8.8

Veeam Agent for Microsoft Windows

Eine Lücke in Veeam Agent for Microsoft Windows (lauscht per Default auf tcp/9395) ermöglicht es lokalen Benutzern, ihre Rechte zu erhöhen, und beliebigen Code mit LOCAL SYSTEM-Rechten auszuführen.

CVE-Nummer: CVE-2022-26503

CVSS v3 Score: 7.8

Auswirkungen

Angreifer können beliebigen Code auf Servern mit Veeam Backup & Replication ausführen, und damit das ganze System übernehmen.

Angreifer können ihre Rechte auf Clients mit Veeam Agent for Microsoft Windows erhöhen, und nach erfolgter Erst-Kompromittierung das ganze System übernehmen.

Betroffene Systeme

Server

Server, die Veeam Backup & Replication in den Versionen 9.5, 10a und 11a installiert haben.

Ausgenommen davon sind Server, die mittels ISO-Images mit Datum 20220302 oder später aufgesetzt wurden, sowie "Managed" Installationen.

Clients

Clients, die Veeam Agent for Microsoft Windows in den Versionen 2.0 bis 5.0 installiert haben.

Abhilfe

Einspielen der bereitgestellten Updates.

Bei Veeam Backup & Replication 9.5 ist ein Upgrade auf eine unterstützte Produktversion erforderlich.
Veeam Agent for Microsoft Windows in Versionen älter als 4 sollte auf eine unterstützte Version aktualisiert werden.

Für die Lücke in Veeam Distribution Service kann als temporärer Workaround laut Veeam auch das Veeam Distribution Service gestoppt und disabled werden.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.


Informationsquelle(n)

Advisory von Veeam, KB4288: https://www.veeam.com/kb4288

Advisory von Veeam, KB4289: https://www.veeam.com/kb4289

Advisory von Veeam, KB4290: https://www.veeam.com/kb4290