Histórico de Revisões

• 1.0: 13 de julho de 2022, release inicial
• 2.0: 18 de julho de 2022, atualização para incluir outros problemas

Resumo

A Veritas resolveu diversas vulnerabilidades que afetavam o NetBackup OpsCenter.

Os hotfixes estão disponíveis somente para as seguintes versões do NetBackup:

• NetBackup OpsCenter 8.3.0.2 Hotffix - Comunicado de Segurança VTS22-009 e Apache Log4J 2.17.1
• NetBackup OpsCenter 9.0.0.1 Hotfix - Comunicado de Segurança VTS22-009 e Apache Log4J 2.17.1
• NetBackup OpsCenter 9.1.0.1 Hotfix - Comunicado de Segurança VTS22-009 e Apache Log4J 2.17.1
• NetBackup OpsCenter 10.0 Hotfix - Comunicado de Segurança VTS22-009 (a versão 10.0 inclui Log4J 2.17.1)

Ações corretivas

Para tratar todas as vulnerabilidades listadas abaixo, faça o upgrade para a versão 8.3.0.2, 9.0.0.1, 9.1.0.1 ou 10.0 e aplique o link acima do hotfix adequado.

Problema

Problema 1: Criação e modificação não autorizadas de contas

Em condições específicas, um invasor remoto autenticado pode conseguir criar ou modificar contas.

• ID da CVE: CVE-2022-36954
• Gravidade: Importante
• Pontuação básica do CVSS v3.1: 9.9 (AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)
• Versões afetadas: 10.0 e anteriores
• Ações recomendadas:
  • Revisar as contas de usuários do OpsCenter para garantir que essa vulnerabilidade não tenha sido explorada na implementação do OpsCenter. Use estas instruções para ver informações sobre contas de usuários do OpsCenter.
  • Fazer o upgrade para 8.3.0.2 ou 9.0.0.1 ou 9.1.0.1 ou 10.0 e aplicar o hotfix adequado.

Problema 2: Execução remota de comandos.

Um invasor remoto não autenticado pode comprometer o host, explorando uma vulnerabilidade corrigida incorretamente.

• ID da CVE: CVE-2022-36951
• Gravidade: Importante
• Pontuação básica do CVSS v3.1: 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
• Versões afetadas: 9.1.0.1 e anteriores
• Ação recomendada: fazer o upgrade para 8.3.0.2 ou 9.0.0.1 ou 9.1.0.1 ou 10.0 e aplicar o hotfix adequado.

Problema 3: Execução remota de comandos.

Um invasor remoto não autenticado pode conseguir executar um comando remotamente usando manipulação de carregadores de classes Java.

• ID da CVE: CVE-2022-36950
• Gravidade: Importante
• Pontuação básica do CVSS v3.1: 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
• Versões afetadas: 8.2 e anteriores
• Ação recomendada: fazer o upgrade para 8.3.0.2 ou 9.0.0.1 ou 9.1.0.1 ou 10.0.

Problema 4: Vulnerabilidade de caminho absoluto

O NetBackup OpsCenter pode ser afetado pela vulnerabilidade a um ataque de caminho absoluto via um componente terceirizado de esapi-2.2.3.1.

• CVE ID: CVE-2022-23457
• Gravidade: Importante
• Pontuação básica do CVSS v3.1: 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
• Versões afetadas: 10.0 e anteriores
• Ação recomendada: fazer o upgrade para 8.3.0.2 ou 9.0.0.1 ou 9.1.0.1 ou 10.0 e aplicar o hotfix.

Problema 5: Encaminhamento de privilégios locais

Um invasor com acesso local a um servidor do NetBackup OpsCenter pode encaminhar seus privilégios.

• ID da CVE: CVE-2022-36949
• Gravidade: Importante
• Pontuação básica do CVSS v3.1: 9.3 (AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
• Versões afetadas: 8.2 e anteriores
• Ação recomendada: fazer o upgrade para 8.3.0.2 ou 9.0.0.1 ou 9.1.0.1 ou 10.0.

Problema 6: Vulnerabilidade em credenciais codificadas

Uma credencial codificada foi detectada no NetBackup OpsCenter que poderia ser usada para explorar o subsistema VxSS subjacente.

• ID do CVE: CVE-2022-36952
• Gravidade: Alta
• Pontuação básica do CVSS v3.1: 8.4 (AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
• Versões afetadas: 10.0 e anteriores
• Ação recomendada: fazer o upgrade para 8.3.0.2 ou 9.0.0.1, ou 9.1.0.1 ou 10.0 e aplicar o hotfix adequado.

Problema 7: Vulnerabilidade de XSS no DOM

O NetBackup OpsCenter é vulnerável a um ataque de XSS no DOM.

• ID do CVE: CVE-2022-36948
• Gravidade: Média
• Pontuação Básica da CVSS v3.1: 5.4 (AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)
• Versões afetadas: 10.0 e anteriores
• Ação recomendada: fazer o upgrade para 8.3.0.2 ou 9.0.0.1 ou 9.1.0.1 ou 10.0 e aplicar o hotfix adequado.

Problema 8: Vazamento de informações

Alguns endpoints do OpsCenter podem permitir que um invasor remoto não autenticado tenha acesso a informações confidenciais.

• ID da CVE: CVE-2022-36953
• Gravidade: Média
• CVSS v3.1 Pontuação básica: 4.3 (AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)
• Versões afetadas: 8.2 e anteriores
• Ação recomendada: fazer o upgrade para 8.3.0.2 ou 9.0.0.1 ou 9.1.0.1 ou 10.0.

Observações

Você também pode usar o NetBackup HotFix and EEB Release Auditor no SORT para verificar se um Emergency Engineering Binary (EEB) ou um hotfix foi aplicado em uma versão já lançada do produto. Essas informações também estão disponíveis no NetBackup Emergency Engineering Binary Guide dessa versão. Caso você não encontre informações relacionadas a um hotfix ou um EEB esperado, entre em contato com o Suporte Técnico da Veritas.

Dúvidas

Em caso de dúvidas ou problemas relacionados a essa vulnerabilidade, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support/pt_BR).

Agradecimento

A Veritas gostaria de agradecer aos seguintes membros da Equipe de Segurança da Airbus por nos informar vários dos problemas citados neste comunicado: Mouad Abouhali, Benoit Camredon, Nicholas Devillers, Anais Gantet e Jean-Romain Garnier.

Isenção de Responsabilidade

O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS. A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054