1. Tổng quan và phân tích
Theo tài liệu của nhà phát hành Veeam, tóm tắt hai lỗ hổng như sau:
- CVE-2024-42448 (CVSS score of 9.9): Từ máy tác nhân quản lý VSPC, với điều kiện tác nhân quản lý (agent) được ủy quyền trên máy chủ, có thể thực thi câu lệnh từ xa (RCE) trên máy chủ VSPC.
- CVE-2024-42449 (CVSS score of 7.1): Từ máy tác nhân quản lý VSPC, với điều kiện tác nhân quản lý (agent) được ủy quyền trên máy chủ, tồn tại lỗi rò rỉ NLTM hash của tài khoản dịch vụ máy chủ VSPC và lỗi xóa các tệp trên máy chỉnh máy chủ.
Veeam Service Provider Console (VSPC) phiên bản 8.1.0.21377 và tất cả số bản dựng phiên bản 7 và 8 đều bị ảnh hưởng.
2. Ảnh hưởng và giảm thiểu rủi ro
Veeam đã phát hành phiên bản khắc phục được các vấn đề này, cụ thể như sau.
| STT | Tên Ứng dụng | Phiên bản ảnh hưởng | Phiên bản cần nâng cấp |
| 1 | Veeam Service Provider Console | < 8.1.0.21999 | >= 8.1.0.21999 |
