Fecha de divulgación: 3 de diciembre de 2024
CVE-2024-42448 es una vulnerabilidad RCE en Veeam Service Provider Console (VSPC). Desde la máquina del agente de gestión VSCP, bajo la condición de que el agente de gestión esté autorizado en el servidor, es posible realizar RCE en la máquina del servidor VSPC. Esta vulnerabilidad está actualmente pendiente de análisis en el NVD.
CVE-2024-42448 no se observó para ser explotado activamente en el momento de la escritura, pero los actores de amenazas han apuntado históricamente exploits Veeam para propagar Akira y Fog Ransomware.
| Campo |
Detalles |
| CVE-ID |
CVE-2024-42448 - CVSS 9.9 (crítico) - asignado por HackerOne |
| Descripción de la vulnerabilidad |
Desde la máquina del agente de gestión VSPC, bajo la condición de que el agente de gestión esté autorizado en el servidor, es posible realizar Ejecución Remota de Código (RCE) en la máquina del servidor VSPC. |
| Fecha de divulgación |
3 de diciembre de 2024 |
| Activos afectados |
Consola de Veeam Service Provider |
| Versiones de software vulnerables |
VSCP 8.1.0.21377 y todas las versiones anteriores 8 & 7 builds. |
| ¿PoC disponible? |
No hay exploits públicos disponibles en el momento de escribir este artículo. |
| Estado de explotación |
No se ha observado que CVE-2024-42448 esté siendo explotada activamente en el momento de redactar este documento. |
| Estado del parche |
Corregido en la versión VSCP 8.1.0.21999 |
Censys Perspectiva
En el momento de redactar este informe, Censys observaba 1,006 instancias VSPC expuestas en línea. Una gran proporción de ellas (49%) están geolocalizadas en Turquía. SunExpress, una aerolínea turca utiliza soluciones Veeam para la protección de datos y la recuperación ante desastres, lo que puede explicar la fuerte concentración de instancias observada en Turquía.
Censys observado alrededor del 49% de las instancias expuestas asociadas a Turkcell Superonline (ASN 34984), un proveedor de telecomunicaciones de Turquía. Nótese que no todas las instancias observadas son vulnerables, ya que no disponemos de versiones específicas.
Mapa de instancias VSPC expuestas:
Censys Consulta de búsqueda:
services.software: (vendor="Veeam" and product="Service Provider Console") or services.http.response.html_title="Veeam Service Provider Console" and not labels: {honeypot, tarpit}
Censys Consulta ASM:
(host.services.software.vendor = "Veeam" and host.services.software.product = "Service Provider Console") or host.services.http.response.html_title="Veeam Service Provider Console" and not host.labels: {honeypot, tarpit}
Referencias
