Veeam Service Provider Console代码执行漏洞CVE-2024-42448

Veeam Service Provider Console（VSPC）是一款专为云服务提供商设计的管理平台，用于管理和安装Agent， 激活许可和下发任务等。

一、基本情况

Veeam Service Provider Console（VSPC）是Veeam Software提供的备份、灾难恢复和云服务的服务提供商设计的管理和监控解决方案。

Veeam Service Provider Console（VSPC）可以集中管理跨多个租户的由 Veeam 支持的解决方案，并提供计费、报告和自动部署工具。

VSPC平台支持虚拟、物理或云端环境，旨在帮云服务提供商更有效地管理其提供的备份即服务（BaaS）和灾难恢复即服务（DRaaS）。

栋科技漏洞库关注到Veeam Service Provider Console存在一个远程代码执行漏洞CVE-2024-42448和一个信息泄露漏洞CVE-2024-42449。

二、漏洞分析

CVE-2024-42448

CVE-2024-42448是Veeam Service Provider Console 7和8.1.0.21377及之前版本中存在的远程代码执行漏洞，该漏洞的CVSS评分为9.9。

该漏洞是Veeam内部测试时发现的，当攻击者获得对服务器上授权VSPC管理代理计算机访问权限时，可能导致远程代码执行 （RCE）。

具体而言，就是当管理代理程式取得伺服器授权的情况下，攻击者可透过VSPC管理代理计算机对VSPC伺服器主机执行远端程式码攻击。

攻击者可利用该漏洞，从VSPC管理代理机器在未修补的服务器执行任意代码，从而可能远程控制受影响的服务器，实现远程代码执行等。

由于该严重缺陷有可能完全危害系统，内部测试发现了该缺陷，突显了对依赖 Veeam 服务提供商控制台进行备份管理的组织带来的风险。 

CVE-2024-42449

CVE-2024-42449是Veeam Service Provider Console 7和8.1.0.21377及之前版本中存在的一个信息泄露漏洞，该漏洞的CVSS评分为7.1。

该漏洞允许攻击者利用管理代理计算机来泄露VSPC服务器服务帐户的NTLM哈希值，此外该漏洞允许攻击者删除VSPC服务器计算机文件。

具体而言，该漏洞允许攻击者在VSPC管理代理在服务器上获得授权情况下，成功利用该漏洞窃取VSPC服务器服务帐户的NTLM哈希值。

通过访问NTLM哈希值，攻击者可能提升其在系统内权限，使用访问权限删除VSPC服务器文件，并可能导致进一步数据泄露或恶意操作。

CVE-2024-42448和CVE-2024-42449漏洞影响Veeam Service Provider Console 7和8.1.0.21377及之前的版本，8.1.0.21999版本已修复。

除升级到修补版本外没有任何缓解措施，关键更新于2024年12月03日发布，补丁应用在Veeam Service Provider Console 8.1.0.21999中。

鉴于已有黑客利用Veeam产品的漏洞部署勒索软体，相关用户的资安团队应当提高警惕，立即采取行动更新去系统以确保企业网络安全。

三、影响范围

Veeam Service Provider Console <= 8.1.0.21377（包括所有早期版本8和7版本）

四、修复建议

目前这些漏洞已经修复，受影响用户可升级到以下版本：

Veeam Service Provider Console >= 8.1.0.21999

五、参考链接

https://www.veeam.com/kb4651