Accueil La cyber-sécurité Failles critiques découvertes dans le logiciel de surveillance informatique Veeam ONE – Corrigez maintenant

Failles critiques découvertes dans le logiciel de surveillance informatique Veeam ONE – Corrigez maintenant

0
Failles critiques découvertes dans le logiciel de surveillance informatique Veeam ONE – Corrigez maintenant


07 novembre 2023RédactionSécurité/Vulnérabilité du réseau

Logiciel de surveillance informatique Veeam ONE

Veeam a publié mises à jour de sécurité pour corriger quatre failles dans sa plateforme de surveillance et d’analyse informatique ONE, dont deux sont jugées critiques en termes de gravité.

La liste des vulnérabilités est la suivante –

  • CVE-2023-38547 (score CVSS : 9,9) – Une faille non spécifiée qui peut être exploitée par un utilisateur non authentifié pour obtenir des informations sur la connexion au serveur SQL que Veeam ONE utilise pour accéder à sa base de données de configuration, entraînant l’exécution de code à distance sur le serveur SQL.
  • CVE-2023-38548 (score CVSS : 9,8) – Une faille dans Veeam ONE qui permet à un utilisateur non privilégié ayant accès au Veeam ONE Web Client d’obtenir le hachage NTLM du compte utilisé par le Veeam ONE Reporting Service.
  • CVE-2023-38549 (score CVSS : 4,5) – Une vulnérabilité de cross-site scripting (XSS) qui permet à un utilisateur doté du rôle Veeam ONE Power User d’obtenir le jeton d’accès d’un utilisateur doté du rôle Veeam ONE Administrator.
  • CVE-2023-41723 (score CVSS : 4,3) – Une vulnérabilité dans Veeam ONE qui permet à un utilisateur doté du rôle d’utilisateur en lecture seule Veeam ONE d’afficher la planification du tableau de bord.

Alors que CVE-2023-38547, CVE-2023-38548 et CVE-2023-41723 impactent les versions 11, 11a, 12 de Veeam ONE, CVE-2023-38548 affecte uniquement Veeam ONE 12. Les correctifs pour ces problèmes sont disponibles dans les versions ci-dessous. –

  • Veeam ONE 11 (11.0.0.1379)
  • Veeam ONE 11a (11.0.1.1880)
  • Veeam ONE 12 P20230314 (12.0.1.2591)

Au cours des derniers mois, des failles critiques du logiciel de sauvegarde Veeam ont été exploitées par plusieurs acteurs malveillants, notamment FIN7 et Rançongiciel BlackCatpour distribuer des logiciels malveillants.

Il est recommandé aux utilisateurs exécutant les versions concernées d’arrêter les services Veeam ONE Monitoring and Reporting, de remplacer les fichiers existants par les fichiers fournis dans le correctif et de redémarrer les deux services.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.



LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici