9VSA23-00934-01 CSIRT informa de vulnerabilidades, dos de ellas críticas, que afectan a Veeam ONE IT

Resumen

El CSIRT de Gobierno comparte información de nuevas vulnerabilidades críticas que afectan a la plataforma Veeam ONE IT.

Vulnerabilidades

CVE-2023-38547

CVE-2023-38548

CVE-2023-38549

CVE-2023-41723

Impacto

Vulnerabilidades de riesgo crítico:

CVE-2023-38547: Vulnerabilidad que permite a un usuario no autenticado ganar información sobre la conexión al servidor SQL que usa Veeam ONE para acceder a su base de datos de configuración. Esto puede llevar a la ejecución remota de código en el servidor SQL que hostea la base de datos de configuración de Veeam ONE. CVSS: 9.9.

CVE-2023-38548: Vulnerabilidad que pemite a un usuario sin privilegios y con acceso al cliente web de Veeam ONE, la habilidad de adquirir el hash NTLM de la cuenta usada por el servicio de reporte de Veeam ONE. CVSS: 9.8.

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor.

Productos afectados
Todas las versiones de Veeam ONE anteriores a las siguientes, que han sido actualizadas para parchar estas vulnerabilidades:

Veeam ONE 12 P20230314 (12.0.1.2591)

Veeam ONE 11a (11.0.1.1880)

Veeam ONE 11 (11.0.0.1379)

Enlaces

https://www.veeam.com/kb4508

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-38547

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-38548

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-38549

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-41723

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00934-01.