CCN-CERT AV 16/24 Actualizaciones de seguridad para productos Veeam
- Detalls
Fecha de publicación: 10/09/2024
Nivel de peligrosidad: CRÍTICO
El CCN-CERT, del Centro Criptológico Nacional, informa de la publicación de una serie de actualizaciones de seguridad para productos de la empresa de software de gestión de copias de seguridad Veeam que solucionan 18 vulnerabilidades. Entre ellas, 5 se han catalogado como críticas y las 13 restantes con una severidad alta.
Entre las críticas, las asignadas con los siguientes códigos: CVE-2024-40711, CVE-2024-42024 y CVE-2024-39714 permitirían la ejecución remota de código a través de un atacante no autenticado. Por su parte, las otras dos (CVE-2024-42019 y CVE-2024-38650) podrían permitir los ataques Pass The Hash, una técnica utilizada por los atacantes para autenticarse en un sistema sin necesidad de conocer la contraseña en texto claro.
Recursos afectados
Las vulnerabilidades reportadas afectan a los siguientes productos:
- Veeam Backup &Replication, versión 12.1.2.172 y compilaciones de la versión 12 y anteriores: CVE-2024-40711.
- Veeam ONE, versión 12.1.0.3208 y compilaciones de la versión 12 y anteriores: CVE-2024-42019 y CVE-2024-42024
- Veeam Service Privider Console, versión 8.1.0.213177 y compilaciones de la versión 8 y anteriores: CVE-2024-38650 y CVE-2024-39714.
Solución a las vulnerabilidades
Se recomienda a los usuarios de estos productos que actualicen el software a la última versión disponible:
- Veeam Backup & Replication: Veeam Backup & Replication 12.2 (versión 12.2.0.334).
- Veeam ONE: Veeam ONE v12.2 (compilación 12.2.0.4093).
- Veeam Service Privider Console: Consola del proveedor de servicios de Veeam v8.1 (compilación 8.1.0.21377)
Las 13 vulnerabilidades con severidad alta cuentan con un parche de seguridad que el fabricante ha detallado en su actualización de seguridad.
El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que realicen las actualizaciones mencionadas con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Referencias
Atentamente,
Equipo CCN-CERT


