En septiembre de 2024, Veeam, líder en soluciones de respaldo y recuperación de datos, publicó un boletín de seguridad destacando varias vulnerabilidades críticas y de alta gravedad en diversos productos de su cartera, incluidos Veeam Backup & Replication, Veeam ONE y Veeam Service Provider Console. Estas vulnerabilidades, descubiertas principalmente durante pruebas internas, representan un riesgo significativo para las empresas que utilizan versiones anteriores a las actualizaciones recientes.
Principales vulnerabilidades identificadas
CVE-2024-40711 (Veeam Backup & Replication): Permite la ejecución remota de código (RCE) sin autenticación. Se le ha asignado un puntaje de gravedad de 9.8 en la escala CVSS v3.1.
CVE-2024-40713: Usuarios con roles de bajo privilegio pueden alterar la configuración de la autenticación multifactor (MFA) y evitar su uso. Gravedad: 8.8.
CVE-2024-42024 (Veeam ONE): Ejecución remota de código explotando credenciales del servicio de agente. Gravedad: 9.1.
CVE-2024-38650 (Veeam Service Provider Console): Acceso a hash NTLM del servidor, con una puntuación de 9.9, considerada crítica.
Productos Veeam afectados:
Veeam Backup & Replication
Veeam ONE
Veeam Agent for Linux
Veeam Service Provider Console
Veeam Backup para Nutanix AHV, Oracle Linux Virtualization Manager y Red Hat Virtualization
Soluciones y actualizaciones de Veeam:
Veeam ha abordado todas las vulnerabilidades documentadas mediante actualizaciones a las versiones más recientes de sus productos. Las empresas deben actualizar a las últimas versiones para protegerse contra estos riesgos.
En digitalDot, estamos al día en actualizaciones de seguridad web. No dudes en contactarnos.
Contenido
Esta web utiliza cookies 🍪
Utilizamos cookies propias y de terceros para mejorar nuestros servicios. Puedes “aceptar”, “rechazar” o configurar tus preferencias. Más información en nuestra política de cookies.
Funcional
Siempre activo
Las cookies funcionales son absolutamente imprescindibles para que el sitio web funcione correctamente. Estas cookies garantizan las funcionalidades básicas y las características de seguridad del sitio web, de forma anónima.
Preferencias
El almacenamiento o acceso técnico es necesario para la finalidad legítima de almacenar preferencias no solicitadas por el abonado o usuario.
Estadísticas
El almacenamiento o acceso técnico que es utilizado exclusivamente con fines estadísticos.Las cookies estadísticas se utilizan para entender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre las métricas del número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
Marketing
Las cookies de marketing son necesarias para crear perfiles de usuario para enviar y personalizar publicidad, o para rastrear al usuario en una web o en varias web con fines de marketing similares.