Atualização de Segurança Veeam – CVE-2023-27532
Ontem (07/03/2023) foi publicada uma vulnerabilidade crítica de segurança relacionada ao Veeam Backup & Replication. A vulnerabilidade foi identificada com o CVE-2023-27532 e permite que usuários não autorizados tenham acesso as credenciais criptografadas que ficam armazenadas dentro do banco de dados do Veeam Backup & Replication. Em função disso o atacante pode obter as informações de acesso de todos os componentes que foram apresentados dentro da infraestrutura de backup.
A vulnerabilidade teve uma nota no CVSS (Common Vulnerability Scoring System Calculator) de 7.5 que já é uma nota considerada alta.
A Veeam já publicou o KB4424 com o patch que corrige a vulnerabilidade. Tanto o Veeam Backup & Replication na versão 11 como na versão 12 foram afetadas.
Abaixo você pode ver o KB para cada uma das versões do Veeam:
É recomendável que a aplicação da correção seja feita assim que possível.
Aplicação do Patch
A correção de segurança dessa vulnerabilidade pode ser feita de duas formas e aqui eu vou mostrar como fazer a atualização no Veeam Backup & Replication 12.
O download pode patch pode ser feito tanto através da ISO inteira do Veeam Backup & Replication, como também pelo executável da correção:
No meu caso eu vou baixar apenas o executável do patch.
O download é apenas de 122 MB e depois de concluir você já pode descompactar o arquivo .zip:
Depois disso é só rodar o executável:
A instalação é simples e do tipo next, next, finish:
Conclusão
Ao término do update já é possível abrir o Veeam Backup & Replication e fazer o update dos componentes restantes:
Concluindo a atualização podemos ver o Veeam Backup & Replication já na versão de build 12.0.0.1420 P20230223:
Meu nome é Mateus Wolff e trabalho com TI desde 2009. Sou arquiteto de soluções de proteção de dados e tenho algumas certificações como VMCE, VCP-DCV e ITIL.
Participo do programa de reconhecimento Veeam Vanguard e sou ex membro do grupo Veeam Legends.
Também sou líder do grupo Veeam User Group Brasil.
