Date de divulgation : 3 décembre 2024
CVE-2024-42448 est une vulnérabilité de type RCE dans Veeam Service Provider Console (VSPC). Depuis la machine de l'agent de gestion VSCP, sous la condition que l'agent de gestion soit autorisé sur le serveur, il est possible d'effectuer un RCE sur la machine serveur VSPC. Cette vulnérabilité est actuellement en attente d'analyse dans le NVD.
La CVE-2024-42448 n'a pas été activement exploitée au moment de la rédaction de ce document, mais les acteurs de la menace ont toujours ciblé les exploits de Veeam pour pour propager les ransomwares Akira et Fog..
| Champ d'application |
Détails |
| CVE-ID |
CVE-2024-42448 - CVSS 9.9 (critique) - attribué par HackerOne |
| Description de la vulnérabilité |
Depuis la machine de l'agent de gestion du VSPC, à condition que l'agent de gestion soit autorisé sur le serveur, il est possible d'effectuer une exécution de code à distance (RCE) sur la machine du serveur du VSPC. |
| Date de la divulgation |
3 décembre 2024 |
| Actifs touchés |
Veeam Service Provider Console |
| Versions de logiciels vulnérables |
VSCP 8.1.0.21377 et toutes les versions antérieures 8 & 7. |
| PoC disponible ? |
Aucun exploit public n'est disponible au moment de la rédaction du présent document. |
| Statut d'exploitation |
CVE-2024-42448 n'a pas été activement exploité au moment de la rédaction de ce document. |
| Statut du patch |
Corrigé dans la version VSCP 8.1.0.21999 |
Censys Perspective
Au moment de la rédaction du présent document, Censys a observé 1,006 instances VSPC exposées en ligne. Une grande partie d'entre elles (49%) sont géolocalisées en Turquie. SunExpress, une compagnie aérienne turque, utilise les solutions Veeam pour la protection des données et la reprise après sinistre, ce qui peut expliquer la forte concentration d'instances observée en Turquie.
Censys a observé environ 49% des instances exposées étaient associées à Turkcell Superonline (ASN 34984), un fournisseur de télécommunications en Turquie. Il convient de noter que toutes les instances observées ne sont pas vulnérables, car nous ne disposons pas de versions spécifiques.
Carte des instances VSPC exposées :
Censys Requête de recherche :
services.software: (vendor="Veeam" and product="Service Provider Console") or services.http.response.html_title="Veeam Service Provider Console" and not labels: {honeypot, tarpit}
Censys Requête ASM :
(host.services.software.vendor = "Veeam" and host.services.software.product = "Service Provider Console") or host.services.http.response.html_title="Veeam Service Provider Console" and not host.labels: {honeypot, tarpit}
Références
