เมนู

Veeam อัปเดตแก้ไขช่องโหว่ในผลิตภัณฑ์ Veeam ONE

15 พฤศจิกายน 2566 | กนิษฐา พุ่มผล

Veeam ประกาศแจ้งอัปเดตแก้ไขด้านความปลอดภัยช่องโหว่จำนวน 4 รายการในแพลตฟอร์มการตรวจสอบและวิเคราะห์ใน IT infrastructure ของผลิตภัณฑ์ Veeam ONE ซึ่งมีช่องโหว่ 2 รายการ ซึ่งได้รับการจัดอันดับให้อยู่ในระดับ Critical

รายละเอียดของช่องโหว่

CVE-2023-38547
เป็นช่องโหว่ที่อาจช่วยให้ผู้ไม่หวังดี ที่ไม่ต้องผ่านการตรวจสอบสิทธิ์ (Unauthenticated Attacker) และใช้ประโยชน์ดังกล่าวเพื่อเข้าถึงข้อมูลเกี่ยวกับการเชื่อมต่อ SQL Server ใน Veeam ONE ที่ใช้ในการเพื่อเข้าถึง Configuration Database ซึ่งอาจนําไปสู่การโจมตีแบบRemote Code Execution (RCE) บน SQL Server ที่สามารถเข้าถึง Configuration Database ได้โดยไม่ได้รับอนุญาต

  • เวอร์ชันที่ได้รับผลกระทบ: Veeam ONE 11, 11a, 12
  • ความรุนแรง: Critical, CVSS v3.1: 9.9

CVE-2023-38548
เป็นช่องโหว่ใน Veeam ONE ที่อาจช่วยให้ผู้ไม่หวังดีที่ไม่มีสิทธิ์ ที่สามารถเข้าถึง Veeam ONE Web Client ได้ และสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อเข้าถึง NTLM Hash ของบัญชีผู้ใช้งานที่ใช้โดย Veeam ONE Reporting Service ได้โดยไม่ได้รับอนุญาต

  • เวอร์ชันที่ได้รับผลกระทบ: Veeam ONE 12
  • ความรุนแรง: Critical, CVSS v3.1 คะแนน: 9.8

CVE-2023-38549
เป็นช่องโหว่ใน Veeam ONE ที่อนุญาตให้ผู้ไม่หวังดีได้รับสิทธิ์แบบ Veeam ONE Power User สามารถใช้ประโยชน์จากช่องโหว่นี้ในการโจมตีเพื่อรับ Access Token ของบัญชีผู้ใช้งานที่ได้รับสิทธิ์ Veeam ONE Administrator ผ่านการใช้ Cross-site Scripting (XSS) ได้โดยไม่ได้รับอนุญาต

  • เวอร์ชันที่ได้รับผลกระทบ: Veeam ONE 11, 11a, 12
  • ความรุนแรง: Medium, CVSS v3.1 คะแนน: 4.5

CVE-2023-41723
เป็นช่องโหว่ใน Veeam ONE ที่อนุญาตให้ผู้ไม่หวังดีได้รับสิทธิ์แบบ Veeam ONE Read-Only User ซึ่งสามารถใช้ประโยชน์จากช่องโหว่นี้ในการดู Dashboard Schedule ได้โดยไม่ได้รับอนุญาต

  • เวอร์ชันที่ได้รับผลกระทบ: Veeam ONE 11, 11a, 12
  • ความรุนแรง: Medium, CVSS v3.1 คะแนน: 4.3

ระบบ หรือผลิตภัณฑ์ที่ได้รับผลกระทบ

Veeam ONE เวอร์ชัน 11, 11a, 12

คำแนะนำ หรือแนวทางแก้ไข

องค์กรที่มีการใช้งานผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่ดังกล่าว แนะนำให้ดำเนินการตรวจสอบเวอร์ชันของผลิตภัณฑ์ และดำเนินการอัปเดตซอฟต์แวร์จากเว็บไซต์ที่เป็นทางการของผลิตภัณฑ์ Veeam ทันที โดยรายการอัปเดตผลิตภัณฑ์ที่เกี่ยวข้องกับช่องโหว่ มีดังนี้

  • Veeam ONE 11 (11.0.0.1379)
  • Veeam ONE 11a (11.0.1.1880)
  • Veeam ONE 12 P20230314 (12.0.1.2591)

ที่มา/ข้อมูลอ้างอิง: