Histórico de Revisões

• 1.0: 16 de novembro de 2021: versão inicial
• 2.0: 09 de dezembro de 2021: adicionada ID da CVE

Resumo

A Veritas detectou um problema em que o Veritas Enterprise Vault poderia permitir a execução de códigos remotos em um Enterprise Vault Server vulnerável.

Problema

• ID da CVE: Veja acima
• Gravidade: Importante
• Pontuação básica do CVSS v3.1: 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Na inicialização, o aplicativo Enterprise Vault inicia vários serviços que detectam portas TCP .NET Remoting aleatórias para verificar possíveis comandos de aplicativos de clientes. Essas portas TCP podem ser exploradas devido a vulnerabilidades inerentes ao serviço .NET Remoting. Um ataque malicioso pode explorar serviços TCP remotos e serviços IPC locais no Enterprise Vault Server.

Essa vulnerabilidade só afeta o servidor do Enterprise Vault quando todas estas condições estão presentes:

• O ataque malicioso tem acesso RDP a uma das máquinas virtuais (VMs) da rede. Para ter acesso RDP, o invasor precisa fazer parte do grupo de usuários remotos da área de trabalho.
• O invasor malicioso conhece o endereço IP do servidor do EV, os IDs dos processos EV (aleatórios), as portas TCP dinâmicas do EV e os URIs de objetos do EV que podem ser acessados remotamente.
• O firewall no servidor do EV não está devidamente configurado

Esta vulnerabilidade pode permitir a execução de códigos remotos se um invasor envia dados especialmente elaborados para um servidor vulnerável do EV.

Versões afetadas
Todas as versões atualmente suportadas do Enterprise Vault: 14.2.1, 14.2, 14.1.3, 14.1.2, 14.1.1, 14.1, 14.0.1, 14.0, 12.5.3, 12.5.2, 12.5.1, 12.5. 12.4.2. 12.4.1. 12.4, 12.3.2, 12.3.1, 12.3, 12.2.3, 12.2.2, 12.2.1, 12.2, 12.1.3, 12.1.2, 12.1.1, 12.1, 12.0.4, 12.0.3, 12.0.2, 12.0.1, 12.0. Versões anteriores não suportadas também podem ser afetadas.

Atenuação

O servidor do Enterprise Vault pode ser protegido contra esses ataques ao .NET Remoting com a aplicação destas orientações:

• Garantir que apenas os administradores do EV tenham acesso ao servidor do EV, conforme descrito no Guia do Administrador do Enterprise Vault.
• Consulte Como gerenciar a segurança dos administradores
• Garantir que apenas usuários confiáveis façam parte do grupo de usuários remotos da área de trabalho e tenham acesso RDP ao servidor do Enterprise Vault.
• Garantir que o firewall do servidor do Enterprise Vault esteja ativado e devidamente configurado, conforme descrito no Guia do Administrador do Enterprise Vault
• Consulte: Configurações de firewalls para programas do Enterprise Vault
• Garantir que as atualizações mais recentes foram instaladas no servidor do Enterprise Vault.

Dúvidas

Em caso de dúvidas ou problemas relacionados a essas vulnerabilidades, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support/pt_BR).

Agradecimento

A Veritas gostaria de agradecer a Markus Wulftange e Reno Ronert, trabalhando em parceria com a Zero Day Initiative (ZDI) da Trend Micro por terem nos notificado sobre tais vulnerabilidade.

Isenção de responsabilidade

O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS. A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054