Veeam、VBEMの重大な認証バイパスの脆弱性について注意喚起:CVE-2024-29849 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Veeam、VBEMの重大な認証バイパスの脆弱性について注意喚起:CVE-2024-29849

Threat Report

Critical

DNA

Silobreaker-CyberAlert

Veeam、VBEMの重大な認証バイパスの脆弱性について注意喚起:CVE-2024-29849

佐々山 Tacos

佐々山 Tacos

2024.05.22

5月22日:サイバーセキュリティ関連ニュース

Veeam、Backup Enterprise Managerの重大な認証バイパスの脆弱性について注意喚起:CVE-2024-29849

BleepingComputer – May 21, 2024

Veeam Backup Enterprise Manager(VBEM)の脆弱性4件について、Veeamが顧客に注意喚起。これには、CVSSスコアが9.8で深刻度が「Critical」評価の脆弱性CVE-2024-29849が含まれる。VBEMはVeeam Backup & Replication向けのオプションで、Webベースの管理およびレポート作成コンソール。デフォルトで有効化されているわけではなく、VBEMをデプロイしていない組織はこれらの脆弱性の影響を受けない。

 

以下4件の脆弱性が、Veeam Backup Enterprise Manager 12.1.2.172で修正されている:

  • CVE-2024-29849:認証バイパスの脆弱性。認証されていない攻撃者が悪用に成功すると、あらゆるユーザーとしてVBEMのWebインターフェースにログインできるようになる。CVSSスコアは9.8、深刻度は「Critical」
  • CVE-2024-29850:NTLMリレーによるアカウント乗っ取りを可能にする脆弱性。CVSSスコアは8.8、深刻度は「High」
  • CVE-2024-29851:VBEMのサービスアカウントがデフォルトのLocal Systemアカウントとして設定されていない場合に、高い権限を持つユーザーがこの脆弱性を悪用すると、同サービスアカウントのNTLMハッシュを盗むことが可能になる。CVSSスコアは7.2、深刻度は「High」
  • CVE-2024-29852:高い権限を持つユーザーによる、バックアップセッションログの読み取りを可能にする脆弱性。CVSSスコアは2.7、深刻度は「Low」

 

12.1.2.172への速やかなアップグレードが不可能な場合は、VeeamEnterpriseManagerSvcおよびVeeamRESTSvcサービスを無効化するか、VBEMをアンインストールすることでも攻撃リスクを緩和できるという。

Veeam製品の全世界における顧客数は45万を超えており、過去には別のBackup & Replicationの脆弱性CVE-2023-27532が脅威グループFIN7やCubaランサムウェアのアクターによって悪用されたことがある。

関連記事:

憲法違反の指摘も:米国土安全保障省、4年間に移民150万人からDNAデータを収集

The Record – May 22nd, 2024

2020年に、拘束(detain)された移民全員のDNA収集を義務付けるトランプ政権の規則が施行されて以来、米国土安全保障省(DHS)はこれまでの4年間に150万人以上の移民からDNAデータを収集し、犯罪捜査に使用するデータベースに蓄積していたという。ジョージタウン大学プライバシー・テクノロジーセンターの調査により明らかになった。DHSが収集したDNAプロファイルの数は、規則変更前の15年間に収集されたサンプルの総数がわずか3万件だったのに対し、50倍に急増している。

移民をめぐる文脈において「detain(拘留や拘束から、警察や入国管理局職員等による呼び止めなどを意味することも)」という言葉の意味は非常に広く、また曖昧化していると、同プライバシー・テクノロジーセンターは指摘。DHSは、ごく短時間であっても、「detain」されたほぼすべての移民からDNAを採取するようになっているという。収集されたDNAデータは、「CODIS(Combined DNA Index System)」と呼ばれるデータベースに登録されるが、これは国際的な法執行機関による犯罪捜査や、米国内の犯罪捜査に利用されるもの。DNAを収集された移民の多くは、自らのデータがこのデータベースに登録されることを理解していなかったという。

また、調査チームによれば、同チームがインタビューした移民の多くは、DNA採取についての書面での通知を目にしておらず、口頭でも採取の事実を知らされていなかったとされる。中には、口腔粘膜検体採取(頬の内部から綿棒などで検体をこすり取る採取方法)が行われたのは病気などの検査のためだと思い込んでいた移民もいるという。

ジョージタウン大学の研究者たちは、DNAを採取された移民が正当な理由なく勾留される可能性について危惧。DNA収集プログラムは、米国憲法修正第4条に規定される、不合理な捜索や抑留などから身体や所有物などの安全を保障されるという人民の権利を侵害するものだとも指摘した。研究者らはさらに、すでに過剰な捜査や取り締まりの対象となっている有色人種のコミュニティに及び得る影響への懸念も表明。バイデン政権に対し、トランプ政権時の規則を撤回し、犯罪を犯していないにもかかわらず遺伝子情報の提出を余儀なくされている膨大な数の移民について、政府が現在保持しているデータを抹消するよう求めている。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ