El Incibe alerta de que se ha descubierto una vulnerabilidad crítica que afecta a dos productos de Veeam: Veeam Agent para Microsoft Windows y Veeam Backup Enterprise Manager, ambos para la gestión de copias de seguridad.
El 21 de mayo, Veeam emitió correcciones para varios problemas de seguridad en Veeam Backup Enterprise Manager, incluida una vulnerabilidad crítica que permite a los atacantes no autenticados eludir la autenticación y obtener acceso a la interfaz web como cualquier usuario (CVE-2024-29849).
La empresa destaca que en ningún caso se permite la destrucción fraudulenta de copias de backup existentes.
Productos afectados:
- Versiones de Veeam Backup Enterprise Manager anteriores a la 12.1.2.172
Se recomienda actualizar a la última versión lo antes posible.
Solución alternativa:
Para los clientes que no pueden actualizar Veeam Backup Enterprise Manager inmediatamente, es posible mitigar estas vulnerabilidades deteniendo el funcionamiento de ese software.
Para ello, se deben detener y deshabilitar los siguientes servicios:
- VeeamEnterpriseManagerSvc (Veeam Backup Enterprise Manager);
- VeeamRESTSvc (Servicio API RESTful de Veeam).
