Veeam Backup & Replication — множественные RCE уязвимости (CVE-2022-26500, CVE-2022-26501)

Олег

14 марта 2022

Компания Positive Technologies обнаружила множественные уязвимости с Veeam Backup & Replication.

CVE-2022-26500, CVE-2022-26501 — Severity: Critical, CVSS v3 score: 9.8

Уязвимые продукты: Veeam Backup & Replication | 9.5 | 10 | 11.

Ошибки найдены в службе Veeam Distribution Service (TCP 9380) при вызове внутренних функций API. Уязвимости позволяют злоумышленнику без аутентификации загрузить и выполнить вредоносный код, соответственно, получить доступ к целевой системе.

Пропатченные версии Veeam Backup & Replication:

11a (build 11.0.1.1261 P20220302)
10a (build 10.0.1.4854 P20220304)

Все новые версии Veeam Backup & Replication 11 и10 с ISO образами от 20220302 и позже не подвержены уязвимости. Если вы используете версию 9.5, переходите но более новую.

Временное решение: остановите и отключите Veeam Distribution Service.

Ссылки

https://www.veeam.com/kb4288

Positive Hack Days 9 — анонс

Олег

7 мая 2019
Подробнее о Positive Hack Days 9 — анонс

21–22 мая 2019 в Москве состоится международный форум по практической безопасности Positive Hack Days 9. Форум проходит в Москве ежегодно начиная с 2011 года. Организатор - компания Positive Technologies.

Установка СБИС3 Плагина всем пользователям терминального сервера

Олег

СБИС3 Плагин странный. Если на компьютере создано несколько учетных записей, то для каждой необходимо установить отдельную копию СБИС3 Плагина. Старый СБИС Плагин с 2020 года не поддерживается, установим новый. Мы, с помощью локальных политик, напишем на терминальном сервере скрипт, который запустится один раз при логине каждого пользователя и установит СБИС3 Плагин.

CTF — install files

Олег

21 января 2021
Подробнее о CTF — install files

Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "Install files". За решение задачки дают 15 баллов, чуть посложнее начального уровня.