Veeam patcht RCE-Bug in Service Provider Console

Veeam hat Sicherheitsupdates veröffentlicht, die zwei Schwachstellen in der Service Provider Console (VSPC) beheben sollen. Jene mit der CVE-Kennung 2024-42448 könnte es Angreifern ermöglichen, über einen autorisierten Management-Agent auf dem VSPC-Server Schadcode aus der Ferne auszuführen, wie Veeam in der Sicherheitswarnung mitteilt. 

Veeam stuft die Sicherheitslücke als kritisch ein, mit einem CVSS v3.1 Score von 9.9. Entdeckt habe man die Schwachstelle während interner Tests. 

Über die zweite Sicherheitslücke (CVE-2024-42449) könnten Angreifer den NTLM-Hash des VSPC-Server-Servicekontos stehlen und somit Dateien auf dem VSPC-Server löschen. Auch hier allerdings unter der Voraussetzung, dass der Management-Agent auf dem VSPC-Server die entsprechende Autorisierung hat. 

Wer die Versionen 7 und 8 der Veeam Service Provider Console verwendet, dem empfiehlt Veeam ein Update auf den neuesten kumulativen Patch. Anwendern älterer Versionen rät der Anbieter dringend, auf die aktuelle Version der Service Provider Console zu wechseln. 

Anfang dieses Jahres gab Veeam übrigens seinen Plan bekannt, 300 Stellen abzubauen und 500 neue zu schaffen - mehr dazu lesen Sie hier. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.