バックアップや災害復旧、データ管理ソリューションの大手プロバイダーであるVeeam Softwareが、複数の製品に重大な脆弱性が存在することを公表しました。この発表は、サイバーセキュリティ業界に大きな波紋を広げています。今回は、この問題の詳細と対策について解説します。
発見された脆弱性の概要
Veeam Softwareの内部テストおよび外部からの報告により、Veeam Backup & Replication、Veeam ONE、Veeam Agent for Linux、Veeam Service Provider Consoleなど、同社の主要製品に複数の脆弱性が存在することが明らかになりました。
最も深刻な脆弱性の一つは、CVE-2024-40711と呼ばれるもので、認証なしでリモートからコード実行が可能になってしまうというものです。この脆弱性のCVSSスコア(脆弱性の深刻度を示す指標)は9.8と、非常に高い値となっています。
他にも、低権限ユーザーが多要素認証(MFA)の設定を変更できてしまう脆弱性(CVE-2024-40713)や、リモートでコードを実行できてしまう脆弱性(CVE-2024-40710)なども発見されています。
各製品における具体的な脆弱性
Veeam Softwareの主要製品ごとに、発見された主な脆弱性を見ていきましょう。
- Veeam Agent for Linux
CVE-2024-40709:ローカルで権限昇格が可能になる高度な脆弱性
Veeam ONE
- CVE-2024-42024およびCVE-2024-42019:リモートでコード実行が可能になる重大な脆弱性(CVSSスコア9.1および9.0)
その他、管理者権限でのコード実行やHTML注入の脆弱性も発見
Veeam Service Provider Console
CVE-2024-38650およびCVE-2024-39714:NTLMハッシュへのアクセスや任意のファイルアップロードによるリモートコード実行が可能になる重大な脆弱性(CVSSスコア9.9)
Veeam Backup for Nutanix AHVおよびその他のプラグイン
- CVE-2024-40718:ローカルでの権限昇格を可能にするSSRF脆弱性
脆弱性がもたらす潜在的な脅威
これらの脆弱性が悪用された場合、攻撃者は以下のような危険な行為を行う可能性があります:
- システムへの不正アクセス:認証をバイパスしてシステムに侵入し、重要なデータにアクセスする
- 権限昇格:低権限のアカウントから管理者権限を取得し、システム全体を制御する
- データの改ざんや削除:バックアップデータを改ざんしたり、重要なファイルを削除したりする
- マルウェアの埋め込み:バックアップシステムにマルウェアを仕込み、復元時に感染を拡大させる
バックアップシステムは企業のデータ保護の要となる重要なインフラです。そのため、これらの脆弱性は企業の事業継続性やデータセキュリティに深刻な影響を与える可能性があります。
対策と今後の注意点
Veeam Softwareは、これらの脆弱性に対処するためのソフトウェアアップデートをリリースしています。影響を受ける製品を使用している組織は、速やかに最新バージョンへのアップデートを行うことが強く推奨されます。
具体的な推奨バージョンは以下の通りです:
- Veeam Backup & Replication:バージョン12.2(ビルド12.2.0.334)
- Veeam Agent for Linux:バージョン6.2(ビルド6.2.0.101)
- Veeam ONE:バージョン12.2(ビルド12.2.0.4093)
- Veeam Service Provider Console:バージョン8.1(ビルド8.1.0.21377)
- Veeam Backup for Nutanix AHVおよびその他のプラグイン:Veeam Backup & Replication 12.2に含まれる最新バージョン
さらに、以下の点にも注意を払う必要があります:
- 定期的なセキュリティ監査:バックアップシステムを含む全てのIT資産に対して、定期的なセキュリティ監査を実施し、新たな脆弱性や設定ミスを早期に発見する
- 多層防御の実施:ファイアウォール、侵入検知システム(IDS)、エンドポイント保護などの複数のセキュリティ対策を組み合わせて実施する
- アクセス制御の強化:最小権限の原則に基づき、ユーザーやプロセスに必要最小限の権限のみを付与する
- セキュリティ意識の向上:従業員に対して、セキュリティの重要性や最新の脅威についての教育を継続的に行う
今回のVeeam Softwareの脆弱性問題は、バックアップシステムもサイバー攻撃の標的になり得ることを改めて示しました。企業は、データ保護の要となるバックアップシステムのセキュリティにも十分な注意を払い、継続的な監視とアップデートを行うことが重要です。
私たち日本サイバーセキュリティは、今後もこのような重要なセキュリティ情報を提供し、組織のサイバーセキュリティ強化を支援してまいります。最新のセキュリティ動向に注目し、適切な対策を講じることで、より安全なデジタル環境を築いていきましょう。