Уязвимости, получившие от 9,5 до 10 баллов по шкале CVSS, выявлены и устранены в разработке Veeam Backup & Replication и операционной системе IBM AIX.
От 9,5 до 10 баллов
Сразу несколько критических уязвимостей исправили в своих продуктах компании Veeam и IBM, причем в обоих случаях степень угрозы оценивается более чем в 9,5 балла по шкале CVSS.
Уязвимость CVE-2025-23120 в Veeam Backup & Replication получила, в частности, оценку 9,9 балла. Она затрагивает все варианты версии 12 до 12.3.0.310 включительно. Проблема вызвана непоследовательностью в механизме десериализации, вследствие чего возникает угроза запуска произвольного кода.
Как установили исследователь компании watchTowr Петр Базыдло (Piotr Bazydlo) и его коллега Сина Хеирха (Sina Kheirkhah), ПО Veeam допускает десериализацию класса, который не должен ее проходить. В результате происходит внутренняя десериализация, результат которой проходит проверку через сопоставление со встроенным черным списком.
А это означает, что потенциальный злоумышленник может воспользоваться т.н. гаджетами десериализации, не попавшими в черный список (Исследователи указали Veeam.Backup.EsxManager.xmlFrameworkDs и Veeam.Backup.Core.BackupSummary в качестве конкретных примеров).
Image by Carson Masterson on Unsplash Veeam и IBM патчат столь же критические патчи в своих продуктах
Уязвимостью «может воспользоваться любой пользователь из локальной группы, привязанной к Windows-хосту вашего сервера Veeam. Больше того, если вы привязали свой сервер к домену, любой пользователь того же домена может осуществить атаку», — написали исследователи.
Патч, выпущенный Veeam, однако, лишь добавляет указанные гаджеты к черному списку, не устраняя ключевую проблему.
«Довольно странно для вендора упрямо держаться за слабый защитный механизм», — отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. «Если найдутся другие пригодные для запуска внутренней десериализации гаджеты, угроза возникнет заново. А после публикации watchTowr можно с уверенностью ожидать, что эти поиски получат целенаправленный характер».
Проблема AIX
IBM, в свою очередь, устранила две критические уязвимости в своей старинной операционной системе AIX (которой почти сорок лет). Десятибалльная уязвимость CVE-2024-56346 позволяла удаленным злоумышленникам запускать произвольный код в версиях AIX 7.2 и 7.3 через службу NIM nimesis. Проблема была вызвана ошибками в контроле доступа.
Вторая уязвимость — CVE-2024-56347 — получила оценку в 9,6 балла по шкале CVSS; она также связана с недостаточностью мер контроля. Злоумышленник может осуществить запуск произвольного кода в контексте AIX через механизм защиты SSL/TSL в службе nimsh.
Информации о практической эксплуатации этих уязвимостей пока нет. Но теперь, когда сведения вышли в открытое инфополе, вероятность попыток эксплуатировать их резко возрастет.
- Лучшие тарифы на выделенные серверы Dedicated на ИТ-маркетплейсе Market.CNews
Поделиться
Подписаться на новости 
Короткая ссылка