9VSA23-00934-01 CSIRT informa de vulnerabilidades, dos de ellas críticas, que afectan a Veeam ONE IT
El CSIRT de Gobierno comparte información de nuevas vulnerabilidades críticas que afectan a la plataforma Veeam ONE IT.
![9VSA23-00934-01.png](https://media.ciberseguridad.gob.cl/images/9VSA23-00934-01.2e16d0ba.format-jpeg.fill-1200x600.jpg)
Resumen
El CSIRT de Gobierno comparte información de nuevas vulnerabilidades críticas que afectan a la plataforma Veeam ONE IT.
Vulnerabilidades
CVE-2023-38547
CVE-2023-38548
CVE-2023-38549
CVE-2023-41723
Impacto
Vulnerabilidades de riesgo crítico:
CVE-2023-38547: Vulnerabilidad que permite a un usuario no autenticado ganar información sobre la conexión al servidor SQL que usa Veeam ONE para acceder a su base de datos de configuración. Esto puede llevar a la ejecución remota de código en el servidor SQL que hostea la base de datos de configuración de Veeam ONE. CVSS: 9.9.
CVE-2023-38548: Vulnerabilidad que pemite a un usuario sin privilegios y con acceso al cliente web de Veeam ONE, la habilidad de adquirir el hash NTLM de la cuenta usada por el servicio de reporte de Veeam ONE. CVSS: 9.8.
Mitigación
Instalar las respectivas actualizaciones entregadas por el proveedor.
Productos afectados
Todas las versiones de Veeam ONE anteriores a las siguientes, que han sido actualizadas para parchar estas vulnerabilidades:
Veeam ONE 12 P20230314 (12.0.1.2591)
Veeam ONE 11a (11.0.1.1880)
Veeam ONE 11 (11.0.0.1379)
Enlaces
https://www.veeam.com/kb4508
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-38547
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-38548
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-38549
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-41723
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00934-01.