Proof of concept-exploit voor lek in Veeam Recovery Orchestrator
Een proof of concept (PoC) exploit voor een kritiek lek in Veeam Recovery Orchestrator is vrijgegeven. Dit maakt het voor kwaadwillenden eenvoudiger misbruik te maken van het lek. Het lek is door Veeam in de meest recente versies van de tool verholpen.

In een security-bulletin meldt Veeam dat het lek kwaadwillenden in staat stelt toegang te krijgen tot de webinterface van Veeam Recovery Orchestrator zonder over beheerdersrechten te hoeven beschikken. Het lek is aanwezig in versie 7.0.0.337 van de tool. Om gebruik te maken van het lek moet een aanvaller de gebruikersnaam en rol van het account met een actieve toegangstoken voor Veeam Recovery Orchestrator weten. De ernst van het lek is ingeschaald op negen op een schaal van tien.
Exploit en technische details beschikbaar
Beveiligingsonderzoeker Sina Kheirkhah publiceert nu een PoC-exploit voor het lek. Ook deelt de onderzoeker in een blogpost technische details over het lek. Zo wijst Kheirkhah erop dat er in de praktijk slechts vijf rollen mogelijk zijn: DRSiteAdmin, DRPlanAuthor, DRPlanOperator en SiteSetupOperator. Dit maakt het mogelijk met behulp van een script deze rol te achterhalen. Ook is de benodigde gebruikersnaam volgens Kheirkhah relatief eenvoudig te achterhalen met behulp van het SSL-certificaat.
Meer informatie is hier beschikbaar.