Zum Inhalt springen
Neuer Bericht: Holen Sie sich Ihr Exemplar des State of the Internet Report 2024! | Heute herunterladen
Beratung

13. Dezember Hinweis: Veeam Service Provider-Konsole RCE [CVE-2024-42448]

Datum der Offenlegung: 3. Dezember 2024

CVE-2024-42448 ist eine RCE-Schwachstelle in der Veeam Service Provider Console (VSPC). Unter der Voraussetzung, dass der Verwaltungsagent auf dem Server autorisiert ist, ist es möglich, vom VSCP-Verwaltungsagentenrechner aus einen RCE auf dem VSPC-Serverrechner durchzuführen. Diese Schwachstelle wird derzeit von der NVD analysiert.

CVE-2024-42448 wurde zum Zeitpunkt der Erstellung dieses Berichts noch nicht aktiv ausgenutzt, aber Bedrohungsakteure haben in der Vergangenheit Veeam-Exploits genutzt, um Akira und Fog Ransomware zu verbreiten.

 

Feld Einzelheiten
CVE-ID CVE-2024-42448 - CVSS 9.9 (kritisch) - zugewiesen von HackerOne
Schwachstelle Beschreibung Unter der Voraussetzung, dass der Management-Agent auf dem Server autorisiert ist, ist es möglich, vom VSPC-Management-Agent-Rechner aus eine Remote Code Execution (RCE) auf dem VSPC-Server-Rechner durchzuführen.
Datum der Offenlegung 3. Dezember 2024
Betroffene Vermögenswerte Veeam Service Provider-Konsole
Anfällige Software-Versionen  VSCP 8.1.0.21377 und alle frühere Versionen 8 & 7 Builds.
PoC verfügbar? Zum Zeitpunkt der Erstellung dieses Berichts sind keine öffentlichen Exploits verfügbar.
Verwertungsstatus CVE-2024-42448 wurde zum Zeitpunkt der Erstellung dieses Berichts noch nicht aktiv ausgenutzt.
Patch-Status Behoben in der VSCP-Version 8.1.0.21999

Censys Blickwinkel

Zum Zeitpunkt der Erstellung dieses Berichts beobachtete Censys 1,006 exponierte VSPC-Instanzen online. Ein großer Teil davon (49%) sind in der Türkei angesiedelt. SunExpress, eine türkische Fluggesellschaft, verwendet Veeam-Lösungen für Datensicherung und Disaster Recovery, was die starke Konzentration von Instanzen in der Türkei erklären könnte.

Censys beobachtet etwa 49% der gefährdeten Instanzen mit Turkcell Superonline (ASN 34984), einem Telekommunikationsanbieter in der Türkei, in Verbindung gebracht werden. Beachten Sie, dass nicht alle beobachteten Instanzen verwundbar sind, da wir keine spezifischen Versionen zur Verfügung haben.

Karte der exponierten VSPC-Instanzen:

Censys Search Abfrage:

services.software: (vendor="Veeam" and product="Service Provider Console") or services.http.response.html_title="Veeam Service Provider Console" and not labels: {honeypot, tarpit}

Censys ASM-Abfrage:

(host.services.software.vendor = "Veeam" and host.services.software.product = "Service Provider Console") or host.services.http.response.html_title="Veeam Service Provider Console" and not host.labels: {honeypot, tarpit}

Referenzen

Lösungen für das Management von Angriffsflächen
Mehr erfahren