ГлавнаяБаза уязвимостей БДУ → BDU:2024-04509
7.6критическая

BDU:2024-04509 (CVE-2024-29855)

Уязвимость веб-консоли программного средства резервирования и восстановления ИТ-сервисов Veeam Recovery Orchestrator, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2024-06-13
Описание

Уязвимость веб-консоли программного средства резервирования и восстановления ИТ-сервисов Veeam Recovery Orchestrator связана с использованием жёстко закодированных учётных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии

Затрагиваемое ПО и версии
Veeam Recovery Orchestrator (до 7.1.0.230)Veeam Recovery Orchestrator (до 7.0.0.379)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к программному средству;
- отключение/удаление неиспользуемых учётных записей пользователей;
- использование «белого» списка IP-адресов для организации доступа к программному обеспечению.

Использование рекомендаций производителя:
https://www.veeam.com/kb4585

Оценка CVSS
Балл7.6 — критическая опасность
Источники и патчи
https://www.veeam.com/kb4585https://github.com/sinsinology/CVE-2024-29855
Проверьте безопасность своего сайта и почты → Полная проверка домена