Veeam поправя уязвимост с висока степен на опасност

Picture of Здравко Боджов
Здравко Боджов
Уязвимости

Veeam обяви кръпки за уязвимост с висока степен на опасност в Backup Enterprise Manager, която може да бъде използвана отдалечено, без удостоверяване.

Проследена като CVE-2024-40715 (CVSS оценка 7.7), грешката може да бъде използвана от отдалечен нападател чрез извършване на атака тип „човек по средата“ (MiTM) за заобикаляне на удостоверяването.

За да отстрани този недостатък, Veeam пусна поправка за Backup Enterprise Manager 12.2.0.334 и включи поправката в преопакованите имиджи за Veeam Backup & Replication и Veeam Data Platform, които бяха пуснати на 6 ноември.

Veeam препоръчва на потребителите да приложат горещата поправка, ако Backup Enterprise Manager версия 12.2.0.334 вече е инсталирана, или да използват най-новите ISO файлове на Veeam Backup & Replication, за да преминат към фиксираната версия.

„Горещата поправка“ изисква съществуващата инсталация на Veeam Backup Enterprise Manager да е с версия 12.2.0.334. Можете да проверите коя версия на Veeam Backup Enterprise Manager е инсталирана, като прегледате раздела About (За) на изгледа Configuration view (Конфигурация)“, отбелязва Veeam в своята консултация.

Компанията също така отбелязва, че инсталирането на поправката няма да промени номера на компилацията на софтуера и предупреждава, че след инсталацията може да се наложи рестартиране.

Потребителите се съветват да приложат поправката възможно най-скоро. Въпреки че Veeam не споменава, че тази уязвимост е използвана, известно е, че  заплахи се насочват към уязвимости на Veeam, за които са пуснати кръпки.

Пресен пример за това е CVE-2024-40711 (CVSS оценка 9,8), проблем с критична сериозност във Veeam Backup & Replication, който беше поправен в началото на септември и който започна да се използва при атаки с рансъмуер Fog и Akira приблизително месец по-късно.

В петък Sophos предупреди, че е наблюдавана трета банда за рансъмуер, наречена Frag, която при последните атаки се насочва към CVE-2024-40711, за да създаде нов потребителски акаунт в уязвими инстанции и да изпълни зловреден софтуер.

Фирмата за киберсигурност също така забеляза поразителна прилика в тактиките, техниките и процедурите, използвани от операторите на Frag и хакерите, стоящи зад Akira и Fog.

#бъгове
По материали от Интернет

Подобни

Уязвимост в ISC BIND позволява дистанционен DoS
25.01.2026
container-ship-6631117_640
Проблем с последната версия на Outlook за iOS
24.01.2026
outlook_icon_closeup_3x_4x
Pwn2Own Automotive 2026 - над $1 млн. награди и 76 zero-day уязвимости
24.01.2026
Pwn2Own
Curl прекратява програмата си за награди поради flood от AI-slop
24.01.2026
pig-3566831_640
Критична уязвимост в SmarterMail
24.01.2026
vulnerable
Pwn2Own Automotive 2026 - Ден 2
23.01.2026
japan_tokyo

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov
Вишинг измами срещу потребители на Revolut
11.12.2025
revolut
ClickFix кампания атакува хотели и туристически компании в България и ЕС
6.01.2026
Blue_screen_of_death-Maurice_Savage-Alamy

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.