VTS24-012

Aviso de seguridad que afecta a NetBackup en Windows

Historial de revisiones

  • 1.0: 4 de noviembre de 2024: Versión inicial
  • 2.0: 26 de noviembre de 2024: Se agregaron revisiones adicionales

Problema: Vulnerabilidad de escalada de privilegios en NetBackup en Windows

El servidor principal, el servidor multimedia y los clientes que se ejecutan en el sistema operativo Windows de Veritas NetBackup son vulnerables a un ataque que podría usarse para escalar los privilegios.

Este ataque requiere que el atacante tenga acceso de escritura a la unidad raíz donde está instalado NetBackup, lo que le permite instalar una DLL maliciosa. Si un usuario ejecuta comandos específicos de NetBackup o un atacante utiliza técnicas de ingeniería social para impulsar al usuario a ejecutar los comandos, se podría cargar el archivo DLL malintencionado, lo que provocaría la ejecución del código del atacante en el contexto de seguridad del usuario.

Nota: Esto solo se aplica a los componentes de NetBackup que se ejecutan en un sistema operativo Windows.

ID DE CVE: CVE-2024-52945
Gravedad: Alta
CVSS v3.1 Puntuación base 7.8 (AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)
CWE-427 – Elemento de ruta de búsqueda incontrolada

Componentes afectados: Componentes de cliente, servidor principal y servidor de medios de NetBackup

Versiones afectadas: 10.4.0.1, 10.4, 10.3.0.1, 10.3, 10.2.0.1, 10.2, 10.1.1, 10.1, 10.0.0.1 y 10.0. Las versiones anteriores no compatibles también pueden verse afectadas.

Acción recomendada:

  • Actualice a la versión 10.5 de NetBackup o
  • Actualice a la versión 10.4.0.1 de NetBackup y aplique Revisión Desde el Centro de descargas
  • Actualice a la versión 10.3.0.1 de NetBackup y aplique Revisión Desde el Centro de descargas
  • Actualice a la versión 10.2.0.1 de NetBackup y aplique Revisión desde el Centro de descargas para clientes. Para el servidor principal y multimedia, use los pasos de mitigación alternativos que se enumeran a continuación.
  • Actualice a la versión 10.1.1 de NetBackup y aplique Revisión desde el Centro de descargas para clientes. Para el servidor principal y multimedia, use los pasos de mitigación alternativos que se enumeran a continuación.

Mitigación alternativa:

1. Cree un directorio llamado "bin" debajo de la unidad raíz donde está instalado NetBackup. Si este directorio preexiste, continúe con el paso 2.

  • Ejemplo: C:\bin (si NetBackup está instalado en la unidad C:\)

2. Restrinja este directorio recién creado solo a usuarios administrativos.

Preguntas

Si tiene preguntas o problemas relacionados con estas vulnerabilidades, póngase en contacto con el soporte técnico de Veritas (https://www.veritas.com/support/es_ES/contact-us)

Renuncia

EL AVISO DE SEGURIDAD SE PROPORCIONA "TAL CUAL" Y SE RENUNCIA A TODAS LAS CONDICIONES, REPRESENTACIONES Y GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUIDA CUALQUIER GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO PARTICULAR O NO INFRACCIÓN, EXCEPTO EN LA MEDIDA EN QUE DICHAS RENUNCIAS SE CONSIDEREN LEGALMENTE INVÁLIDAS. VERITAS TECHNOLOGIES LLC NO SERÁ RESPONSABLE DE LOS DAÑOS INCIDENTALES O CONSECUENTES EN RELACIÓN CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN CONTENIDA EN ESTA DOCUMENTACIÓN ESTÁ SUJETA A CAMBIOS SIN PREVIO AVISO.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054