Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat zwei Schwachstellen, die die Veeam Backup & Replication Software betreffen, in ihren KEV-Katalog (Known Exploited Vulnerabilities) aufgenommen und begründet dies mit Hinweisen auf aktive Ausnutzung in freier Wildbahn.
Die jetzt behobenen kritischen Schwachstellen mit den Bezeichnungen CVE-2022-26500 und CVE-2022-26501 werden beide mit 9,8 im CVSS-Scoring-System bewertet und könnten dazu genutzt werden, die Kontrolle über ein Zielsystem zu erlangen.
„Der Veeam Distribution Service (standardmäßig TCP 9380) ermöglicht es nicht authentifizierten Benutzern, auf interne API-Funktionen zuzugreifen“, so Veeam in einem im März 2022 veröffentlichten Advisory. „Ein entfernter Angreifer kann Eingaben an die interne API senden, die zum Hochladen und Ausführen von bösartigem Code führen können.
Die beiden Probleme, die die Produktversionen 9.5, 10 und 11 betreffen, wurden in den Versionen 10a und 11a behoben. Benutzern von Veeam Backup & Replication 9.5 wird empfohlen, ein Upgrade auf eine unterstützte Version durchzuführen.
Nikita Petrov, ein Sicherheitsforscher bei der russischen Cybersecurity-Firma Positive Technologies, wurde für die Entdeckung und Meldung der Schwachstellen verantwortlich gemacht.
„Wir glauben, dass diese Schwachstellen in echten Angriffen ausgenutzt werden und viele Unternehmen einem erheblichen Risiko aussetzen“, sagte Petrov am 16. März 2022. „Deshalb ist es wichtig, so schnell wie möglich Updates zu installieren oder zumindest Maßnahmen zu ergreifen, um abnormale Aktivitäten im Zusammenhang mit diesen Produkten zu erkennen.“
Details zu den Angriffen, die diese Schwachstellen ausnutzen, sind noch nicht bekannt, aber das Cybersecurity-Unternehmen CloudSEK gab im Oktober bekannt, dass es mehrere Bedrohungsakteure beobachtet hat, die ein „vollständig waffenfähiges Tool zur Remotecodeausführung“ anpreisen, das die beiden Schwachstellen ausnutzt.
Einige der möglichen Folgen eines erfolgreichen Angriffs sind die Infektion mit Ransomware, Datendiebstahl und die Unterbrechung von Diensten, weshalb die Nutzer/innen unbedingt die Updates installieren sollten.