Veeam hat eine Man in the Middle-Schwachstelle in seinem Veeam Updater bekanntgegeben, die sich auf folgendes aktuelle Produkt auswirkt:
- Veeam Backup for Salesforce: 3.1 oder älter
Ebenfalls davon betroffen sind ältere Versionen anderer Produkte:
- Veeam Backup for Nutanix AHV: 5.0 oder 5.1
- Veeam Backup for AWS: 6a oder 7
- Veeam Backup for Microsoft Azure: 5a oder 6
- Veeam Backup for Google Cloud: 4 oder 5
- Veeam Backup for Oracle Linux Virtualization Manager and Red Hat Virtualization: 3, 4.0 oder 4.1
Betroffene Versionen sollten so schnell wie möglich aktualisiert werden
Ob Sie betroffen sind, können Sie überprüfen, in dem Sie sich Ihre gegenwärtige Version anzeigen lassen:
- Wechseln Sie auf Ihrer Appliance auf die Seite Configuration (oben rechts) Wählen Sie Support Information → Updates
- Klicken Sie Check and View Updates
- Wechseln Sie auf den History-Tab
Das Update können Sie über den Autoupdater vornehmen.
Dies wirft natürlich die Frage auf, dass Sie sich ja in genau diesem Moment angreifbar machen.
Dies ist zwar richtig. Allerdings können Sie selbst entscheiden, ob das Risiko eines Angriffs auf den Übertragungspfad zwischen Auto-Updater und Veeam wahrscheinlicher ist oder auf den Weg, den Sie für eine manuelle Installation wählen müssen.
Tipp: Bei einer manuelle Installation sind mehr (angreifbare) Komponenten beteiligt.
Vermeidung von Man in the Middle-Sicherheitslücken in Auto-Updatern
Man in the Middle-Sicherheitslücken in Auto-Updatern werden vermieden werden, indem geprüft wird, ob die Gegenstelle - die Patches ausliefert - legitimiert ist. Soweit der Hersteller ein Certificate Pinning nutzt, sind derartige Fehler vermeidbar. Verwendet der Hersteller Certificate Pinning, dann legt er fest, dass der Auto-Updater nur bestimmte, vorher festgelegte Zertifikate akzeptieren darf.
Bei Rückfragen zu Veeam senden Sie mir gerne eine Mail.
Matthias Mrugalla, Consultant
Telefon +49 174 310 81 84
