[English]Der Softwarehersteller Veeam warnt vor kritischer RCE-Schwachstelle in Backup & Replication. Blog-Leser j. hatte gestern im Diskussionsbereich auf die Schwachstelle hingewiesen (danke dafür) – ich hatte das aber bereits an andere Stellen vernommen. Die Schwachstelle CVE-2024-4071 wurde mit einem CVSS-Index von 9,8 klassifiziert, sollte also schnellstmöglich beseitigt werden. Veeam hat daher entsprechende Updates seiner Backup & Replication-Software zum Schließen dieser Schwachstellen veröffentlich. Aber es gibt weitere Schwachstellen in verschiedenen Produkten. Hier ein kurzer Überblick zu diesem Thema.
Schwachstellen in mehreren Produkten
Veeam hat zum 4. September 2024 das Security Bulletin kb4649 herausgegeben und dieses am 5. September nochmals modifiziert. In diesem Dokument werden gleich eine ganze Reihe an Schwachstellen in diversen Produkten offen gelegt. Nachfolgende Produkte sollten zeitnah aktualisiert werden.
Veeam Backup & Replication
Veeam ONE
Veeam Service Provider Console
Veeam Agent for Linux
Veeam Backup for Nutanix AHV
Veeam Backup for Oracle Linux Virtualization Manager and Red Hat Virtualization
RCE-Schwachstelle CVE-2024-4071 und mehr
Die nachfolgende aufgeführten Schwachstellen betreffen Veeam Backup & Replication 12.1.2.172 und frühere Builds der Version 12 sowie ggf. ältere Versionen. Hier die Kurzübersicht:
- CVE-2024-40711: Die bereits oben erwähnte Sicherheitslücke, die die unauthentifizierte Remotecodeausführungsschwachstelle (RCE), die von Florian Hauser von CODE WHITE Gmbh gemeldet wurde. CVSS v3.1 Score: 9.8, kritisch, Tenable beschreibt CVE-2024-40711 als: „Eine Remotecodeausführung in Veeam Backup & Replication kann ohne Authentifizierung ausgenutzt werden.“ Details zu dieser kritischen Schwachstelle, die einem Angreifer mit niedrigen Privilegien einen Zugriff ermöglicht, gibt es zur Zeit nicht. Der CVSS-Index von 9,8, der für die Schwachstelle vergeben wurde, zeigt die Brisanz.
- CVE-2024-40713: Eine Schwachstelle, die es einem Benutzer, dem eine niedrig privilegierte Rolle in Veeam Backup & Replication zugewiesen wurde, ermöglicht, die Einstellungen für die Multi-Faktor-Authentifizierung (MFA) zu ändern und die MFA zu umgehen. CVSS v3.1 Score: 8.8, hoch
- CVE-2024-40710: Eine Reihe verwandter, hochgradig gefährlicher Schwachstellen, von denen eine die Remotecodeausführung (RCE) als Dienstkonto und die Extraktion sensibler Informationen (gespeicherte Anmeldedaten und Kennwörter) ermöglicht. Zum Ausnutzen dieser Schwachstellen ist ein Benutzer erforderlich, dem innerhalb von Veeam Backup & Replication eine niedrig privilegierte Rolle zugewiesen wurde. CVSS v3.1 Score: 8.8, hoch
- CVE-2024-39718: Eine Schwachstelle, die es einem Benutzer mit geringen Rechten ermöglicht, Dateien auf dem System remote zu entfernen, wobei die Berechtigungen denen des Dienstkontos entsprechen. CVSS v3.1 Score: 8.1, hoch
- CVE-2024-40714: Eine Schwachstelle in der TLS-Zertifikatsvalidierung ermöglicht es einem Angreifer im selben Netzwerk, vertrauliche Anmeldedaten während Wiederherstellungsvorgängen abzufangen. CVSS v3.1 Score: 8.3, hoch
- CVE-2024-40712: Eine Path Traversal-Schwachstelle ermöglicht es einem Angreifer mit einem niedrig privilegierten Konto und lokalem Zugriff auf das System, eine lokale Privilegienerweiterung (LPE) durchzuführen. CVSS v3.1 Score: 7.8, hoch
Alle oben genannten Schwachstellen werden in Veeam Backup & Replication 12.2 (build 12.2.0.334) beseitigt. Details, auch zu den Schwachstellen in den anderen, oben aufgeführten Veeam-Produkten sind dem Security Bulletin kb4649 zu entnehmen.
In letzter Zeit gibt es aber vermehrt solch kritische Schwachstellen in Veeam.. Die Version 12.1 war doch auch schon mit CVSS-Index von 9,8 begründet..
Und diesmal braucht es sogar einen Neustart.
Wie kommen die Schwachstellen in die Software? Wer waren die beteiligten Programmierer? Was sagen die dazu? Fragt die mal jemand?
Der Neustart liegt aber an einer Microsoft-3rd-Party…
Ach ja Veeam… werft diesen überteuerten Single Point of Failure raus…
Führen die eigentlich die Zugangsdaten und Adminpasswörter immer noch nur Base64 codiert in einem per Powershell auslesbaren Vault?
https://github.com/sadshade/veeam-creds/
Jeder wird sich seine eigenen Gedanken machen, wenn er, wie hier, etwas zu konkreten Schwachstellen liest. Und ja, die Leute werden möglicherweise zum Schluss kommen, dass das Produkt ein Problem hat. Aber am Ende des Tages nützt es einem betroffenen Administrator genau Null, wenn er hier über einen „Single Point of Failure“ liest, das Produkt aber in seinem Umfeld – aus welchen Gründen auch immer – im Einsatz ist.
Ziel der Blog-Beiträge ist es, über einen Sachverhalt (Schwachstellen, neue Funktionen etc.) zu informieren. Informierte und mündige Administratoren bewerten dann selbständig und eigenverantwortlich, wie es weiter gehen soll. Diskussionen „dieses Produkt ist aber Mist, das Produkt ist besser“ führen in diesem Kontext nicht weiter, bringen hier im Blog aber ausufernde Kommentarstränge, die niemandem nützen.
Dein Hinweis ist jetzt sicherlich für Veeam-Nutzer interessant und aus Sicherheitsaspekten relevant. Daher bleibt der Kommentar stehen. Ich möchte aber an dieser Stelle mit meinem Einwurf vorsorglich vermeiden, dass hier erneut eine unsägliche Diskussion um nebenläufige Themen entstehen.
Tut euch und mir bitte den Gefallen und unterlasst nebenläufige Kommentare, die zu unnötigen Diskussionen führen. Ich gehe davon aus, dass hier erwachsene Leute aus dem Administratorbereich mitlesen und selbständig Entscheidungen treffen. Ich versuche ja so wenig als möglich zu moderieren – aber in einigen Threads sind die Grenzen dessen, was ich an Diskussionen im Blog als „förderlich erachte“, deutlich überdehnt worden. Wäre schade, wenn ich gezwungen werde, rigoros zu löschen – kostet mich unnötig Zeit und führt oft dazu, dass andere Kommentare aus dem Kontext gerissen werden.
Danke für das Verständnis – und damit meine ich nicht explizit nur den Vorposter, sondern alle Leser, die sich in den letzten Wochen in diversen Artikeln regelrechte Kommentarschlachten geliefert haben.
PS: Wenn es explizit einen Punkt gibt, den ich im Blog ansprechen soll, kurze Mail mit den Randbedingungen an mich – dann könnte ich das in einem separaten Beitrag aufbereiten und zur Diskussion stellen. Ist dann ein anderer Stiefel, der dann auf ein zu diskutierendes Thema fokussiert.
Die Passwörter sind mittels DPAPI verschlüsselt und nicht nur Base64 codiert.
Ja ein Administrator des VBR-Servers kann die auslesen und entschlüsseln, das ist vom Design her aber auch einfach notwendig. Dies ist unter anderem ein Grund warum der VBR-Server kein Domänen-Mitglied sein sollte und speziell gehärtet gehört.
> Die Passwörter sind mittels DPAPI verschlüsselt…
Falsch! Die DPAPI ist keine Verschlüsselung sondern wie der Name es sagt eine API mit Vault und mit verschiedenen Methoden zur Verschlüsselung. Wenn ein Veeam damit aber nichts verschlüsselt sondern nur hasht, dann kann jedes Skript (siehe das von mir verlinkte) über die gleiche DPAPI es auch wieder direkt auslesen oder raustragen und es woanders machen.
Mimikatz bekannt? Ich sage nur mimikatz dpapi::cred
> … kein Domänen-Mitglied sein sollte.
Schön geschrieben, würde ich sofort unterstreichen. Nur leider sind mir durch die Bank bislang nur in einem AD integrierte VBRs begegnet. Bei HyperV Clustern ist das ja quasi unumgänglich.
Wenn es gehasht werden würde ( wird es nicht) kann es ja schon per definition nie wieder ausgelesen werden .. Hashfunktionen sind immer einweg.
*jedes Skript*/mimikatz klar, aber nur wenn es in dem Kontext des users ausgeführt wird dessen secrets man aus dem dpapi vault entschlüsseln will, sprich in dem fall ist man eh schon admin auf dem vbr-server.
Und nein auch bei Failover-Clustern muss der VBR-Server nicht in der Domäne sein, warum sollte das dort anders sein ?
wait: Hyper-V als Cluster setzt eine Domänenmitgliedschaft voraus, damit das funktioniert? Klar, man kann dafür eine separate Domäne aufsetzen … aber das ist schon creep :c. Wobei, ja stimmt, Windows „Cluster“ braucht ja auch eine Domäne wegen dem ComputerObjekt was erstellt wird.
Gilt btw. auch, wenn man das vCenter ans AD koppelt, auch so ein noGo.
Und ein Veeam gehört nicht in die Domäne.
Nein, Zwecks Verwaltung ist eine Domain empfohlen, es werden aber auch workgroup cluster unterstützt.
Danke, aber gewundert hätte es mich nicht bei M$ :)
Auch ein Weg die Kunden alter Versionen immer wieder zum Upgrade zu bewegen ;-)
Bevor einige wieder ad hominem gehen eine Zahl in den Raum geworfen: 17.000,- EUR Einsparungen für ein typisches mittelständisches Unternehmen (30 HyperV VMs, 2 Nodes, 10 TB Storage, 5 Jahre). Ein GitOps Workflow mit Windows PowerShell Skripten ersetzt die Veeam Black-Box. Die beiden komfortablen Key-Features: 1) Die Admins irrklicken nicht mehr direkt auf irgendwelchen Servern in GUIs herum sondern arbeiten transparent und nachvollziehbar in Repos. 2) Das Ganze skaliert wunderbar horizontal oder vertikal. Ein zusätzliches Node im Cluster? Ein zusätzlicher HyperV Host außerhalb eines Clusters? Alles kein Problem. Vorher mussten mühsam Jobs in Veeam einzeln angepasst werden, mitunter wurden dabei VMs vergessen.
Dann möchte ich mal deinen Restore-Workflow sehen, in einem Unternehmen mit 1000 MA. Backup ist eine Sache. Wie pflegt man in der Backup-Branche zu sagen: Backup ist gut, Restore ist wichtig!
Ich lösche ab dem Kommentar von Tomas alle Folgekommentare. Es geht im obigem Beitrag um eine Schwachstelle und weniger um die Frage „für Upgrades zahlen“.
Tomas hat eine Mail von mir auf dem Tisch, mit der Frage, ob er Details liefern möchte – ich bin gerne bereit, einen separaten Blog-Beitrag „Kosten Veeam zur Vergleichslösung xyz“ aufzubereiten, wenn ich Futter bekommt. Hier sehe ich aber schon an Kommentaren in der Moderation, dass der Thread „entgleisen wird“.
Einerseits wird von Tomas nichts kommen, außer Werbung für seinen IT-Unternehmensblog. Andererseits zahlt man bei Veeam nicht zusätzlich für Updates.
Kommentare sind hier eigentlich immer ein Mehrwert und gerne gelesen, das ständige Propagieren der eigenen Sicht ist jedoch nervig. Nach dem Tellerrand geht es weiter als manch einer meint.
Schwieriges Thema – die letzten Tage musste ich leider einige Kommentare löschen (eigentlich mag ich mir das Moderieren ersparen, aber manchmal geht es nicht anders – speziell wenn Leser in Kommentaren auch noch ins politische abdriften und eine bestimmte Partei propagieren).
Was das obige Thema betrifft: Ich bin ja jemand, der auch schon mal nach vorne denkt und gerne Nägel mit Köpfen macht. Ich habe Tomas Freitag hinter den Kulissen getriggert, dass Thema „wie ich x Euro spare“ aufzubereiten. Er hat es zum Wochenende bei sich im Blog bereits eingestellt.
Hab es noch nicht aufbereitet, denn ich war am Wochenende eher im Taubertal zwischen Reichsstadt-Festtagen in Rothenburg, der Kulisse von Bad Mergentheim oder Wertheim unterwegs und bin dann zwischen „Mauttaschen und Spätzle verschollen“.
Aber ich plane die Informationen von Tomas ganz wertneutral in einem separaten Blog-Beitrag aufzubereiten. Bringt vielleicht für den einen oder anderen aus der Leserschaft einen Erkenntnisgewinn.
Er betreibt doch einen eigenen Blog wo er sich austoben könnte, aber wahrscheinlich interessiert es keinen was er da von sich gibt.
Warum sollte er dann daran interessiert sein hier Material zu liefern, meckern ist so viel einfacher.
Sorry, musste sein.
Wer die Kommentare von bestimmten Personen nicht lesen möchte trägt einfach folgendes in seinen uBlock origin ein:
http://www.borncity.com##:xpath(//div[contains(@id,“comment-„) and .//cite[contains(@class,“fn“) and text() = „Luzifer“]])
http://www.borncity.com##:xpath(//div[contains(@id,“comment-„) and .//cite[contains(@class,“fn“) and text() = „Tomas Jakobs“]])
Und schon ist Ruhe.
Dann aber bitte mit allen Varianten von Homoglyphen, wie z.B. Tom&# 8203;&# 1072; J&# 1072;&# 8203;kobs
Danke, Herr Born!
Wir haben heute schon mal das Update von Veeam One auf die 12.2.0.4093 durchgeführt und es gab keine Probleme. Einzige Auffälligkeit war, dass die neue Version .Net 8 mitinstalliert hat und die installierte Version war veraltet. Somit war nach dem Update auch .Net 8 zu patchen. Veeam B+R folgt morgen, ich schreibe hier kurz ob es irgendwelche Auffälligkeiten gab.
.Net 8 ist die aktuelle ESR-Variante, der Support für die vorige .Net 6 läuft mit dem Oktober-Patchday aus. Von daher vorbildlich das gleich mit umzustellen.
Leider haben viele Entwickler die Releasezyklen von .Net nicht auf dem Schirm und man muss den alten Kram ungepatcht installiert lassen. Die Krönung sind Programme für die ungeraden .Net-Versionen, die nur 18 Monate Support haben und keine Updates in Sicht.
Das war bei mir auch so.
Vor dem Upgrade werden die Prerequisites geprüft und da fehlte .NET 8. Installiert wurde eine (auf der DVD mit enthaltene) „aspnetcore-runtime-8.0.7-x64.exe“, für die ein Reboot des Servers nötig wurde. Erst danach konnte Veeam 12.2.0.334 installiert werden – ohne erneuten Reboot.
Im Moment verlangt der Server nach dem Update „2024-08 .NET 8.0.8 Security Update for x64 Server (KB5042132)“. Angesichts des Backup-Wochenendes und dem nahenden Patchday werde ich das aber frühestens nächsten Mittwoch installieren.
Erste Tests und die inkrementellen Tagesbackups liefen ohne Probleme (zu Proxmox hatte ich im anderen Thread schon etwas geschrieben), nächste Woche weiß ich auch, ob die fürs Wochenende orchestrierten Fullbackups und Tape-Auslagerungen problemlos gehen.
PS: Postgres als Veeam-Datenbank gibt es schon seit mindestens 12.0, ich habe damit aber noch keine Erfahrungen gesammelt. Für Neuinstallationen sicherlich erwägenswert, ich habe hier allerdings noch die von Veeam11 aufgesetzte Konfiguration mit MS SQL Express am laufen.
So, wie angekündigt einmal kurze Rückmeldung. Update ist soweit abgeschlossen und hat gut funktioniert. Backup-Server, Hardened-Repository und Tape laufen. Sicherung von VMs und physikalischen Clients funktioniert.
Man sollte was Zeit einplanen, gut Ding will Weile haben.
Nachtrag:
Die Compliance & Security Checks in Veeam B&R wurden mit der neuen Version ebenfalls erweitert. Am besten mal schauen, dass alles korrekt konfiguiert ist. Ich musste zwei neue Punkte nacharbeiten.
Hallo
Wollte nur kurz schreiben, habe mittlerweile bei 8 Kunde Veeam Update durchgeführt.
Teils für ESXI, teils für Windows Cluster, keine Probleme.
Backup Copy Job in Veeam Cloud (self hostet im RZ) auch keine Probleme
Gruss Andi