K-iS-Security Advisory 2024-008 – kritische Schwachstellen im Veeam Backup Enterprise Manager

Veeam hat in KB 4581 auf mehrere, teilweise kritische Schwachstellen im Veeam Backup Enterprise Manager hingewiesen: CVE-2024-29849, CVE-2024-29851, CVE-2024-29852.

Die schwerwiegendste Lücke CVE-2024-29849 ermöglicht es einem nicht authentifizierten Angreifer, sich als beliebiger Benutzer bei der Web-Oberfläche des Veeam Backup Enterprise Managers anzumelden.

Ist der Angreifer dort als Admin-User eingeloggt, können nicht nur Backup-Jobs manipuliert, sondern auch gelöscht werden.

Ausschließlich abgekapselte Backups (z.B. entnommene Backup-Kopien auf Tape oder die Nutzung eines Immutable Repository) sind vor einer potenziellen Manipulation ausgeschlossen. Einfache Backup-Kopien und die tagesaktuellen Backups auf dem Datensicherungsserver sind ungeschützt.

Betroffen sind alle Versionen des Veeam Backup & Enterprise Manager älter als Build 12.1.2.172.
(Veeam äußert sich nicht zu nicht mehr supporteten Versionen, jedoch gibt es aus unserer Sicht keinen Grund zur Annahme, dass diese nicht betroffen sind.)

Handlungsempfehlung:
Der Enterprise Manager sollte kurzfristig auf Build 12.1.2.172 upgedatet werden.

Sollten die betroffenen Systeme Teil eines mit uns abgeschlossenen aktiven Managed Service-Vertrags sein, wird dazu automatisch ein Ticket erstellt und wir setzen uns proaktiv mit Ihnen in Verbindung.

Sollten Sie Veeam als Service unserer K-loud nutzen, müssen Sie sich in diesem Fall um nichts mehr kümmern,
die notwendigen Anpassungen wurden bereits vorgenommen.

Zentraler Support der K-iS Systemhaus Unternehmensgruppe:
support@k-is.com | +49 271 31370-30 (D-Siegen) | +49 6761 9321-55 (D-Simmern)
+49 7681 474098-8 (D-Emmendingen) | +41-55-536-1020 (Schweiz)
+43 662 202299-8 (Österreich)

Support der my-Office.ch GmbH:
support@my-office.ch | +41 61 303 04-05