Kritisk sårbarhet i Veeam Backup
Veeam informerar om en kritisk sårbarhet i flera produkter för backup i molntjänster. I flertalet av produkterna åtgärdades sårbarheten i och med tidigare uppdateringar. För Veeam Backup for Salesfoce åtgärdas sårbarheten i och med en nyligen släppt uppdatering. [1]
Ett angrepp möjliggör att genom en man-in-the-middle-attack köra skadlig kod på systemet. NIST har ännu inte klassificerat sårbarheten. [2] Tillverkaren anger CVSS 3.1 till 9.0. [1]
Påverkade produkter
- Veeam Backup for Salesforce 3.1 och äldre
- Veeam Backup for Nutanix AHV 5.0 och 5.1
- Veeam Backup for AWS 6a och 7
- Veeam Backup for Microsoft Azure 5a och 6
- Veeam Backup for Google Cloud 4 och 5
- Veeam Backup for Oracle Linux Virtualization Manager and Red Hat Virtualization 3, 4.0 och 4.1
Uppdateringar för samtliga produkter utom Veeam Backup for Salesforce släpptes mellan juli och december 2024. Den som har Veeam Backup & Replication 12.3 installerad och uppdaterat sin produkt tidigare är inte drabbad.
Rekommendationer
CERT-SE uppmanar att skyndsamt uppdatera i enlighet med tillverkarens rekommendationer.