Comunicado de segurança que afeta o NetBackup no Windows

Histórico de revisões

• 1.0: 4 de novembro de 2024: versão inicial
• 2.0: 26 de novembro de 2024: Ajustes adicionais adicionados

Problema: vulnerabilidade de escalonamento de privilégios no NetBackup no Windows

O servidor primário do Veritas NetBackup, o servidor de mídia e os clientes em execução no sistema operacional Windows são vulneráveis a um ataque que pode ser usado para aumentar os privilégios.

Esse ataque exige que o invasor tenha acesso de gravação à unidade raiz onde o NetBackup está instalado, permitindo que ele instale uma DLL maliciosa. Se um usuário executar comandos específicos do NetBackup ou um invasor usar técnicas de engenharia social para impulsionar o usuário a executar os comandos, a DLL maliciosa poderá ser carregada, resultando na execução do código do invasor no contexto de segurança do usuário.

Observação: isso se aplica apenas aos componentes do NetBackup em execução em um sistema operacional Windows.

ID CVE: CVE-2024-52945
Gravidade: Alta
CVSS v3.1 Pontuação Base 7.8 (AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)
CWE-427 – Elemento de caminho de pesquisa não controlado

Componentes afetados: Componentes do NetBackup Client, Primary Server e Media Server

Versões afetadas: 10.4.0.1, 10.4, 10.3.0.1, 10.3, 10.2.0.1, 10.2, 10.1.1, 10.0.0.1 e 10.0. Versões mais antigas sem suporte também podem ser afetadas.

Ação recomendada:

• Atualize para o NetBackup versão 10.5 ou
• Atualize para o NetBackup versão 10.4.0.1 e aplique Correção Do centro de download
• Atualize para o NetBackup versão 10.3.0.1 e aplique Correção Do centro de download
• Atualize para o NetBackup versão 10.2.0.1 e aplique Correção do centro de download para clientes. Para servidor primário e de mídia, use as etapas de mitigação alternativas listadas abaixo.
• Atualize para o NetBackup versão 10.1.1 e aplique Correção do centro de download para clientes. Para servidor primário e de mídia, use as etapas de mitigação alternativas listadas abaixo.

Mitigação alternativa:

1. Crie um diretório chamado "bin" na unidade raiz onde o NetBackup está instalado. Se esse diretório existir preexistir, vá para a Etapa 2.

• Exemplo: C:\bin (se o NetBackup estiver instalado na unidade C:\)

2. Restrinja este diretório recém-criado apenas a usuários administrativos.

Perguntas

Em caso de dúvidas ou problemas relacionados a essas vulnerabilidades, entre em contato com o suporte técnico da Veritas (https://www.veritas.com/support/pt_BR/contact-us)

Disclaimer

O AVISO DE SEGURANÇA É FORNECIDO "NO ESTADO EM QUE SE ENCONTRA" E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO A UM DETERMINADO FIM OU NÃO VIOLAÇÃO, SÃO REJEITADAS, EXCETO NA MEDIDA EM QUE TAIS ISENÇÕES DE RESPONSABILIDADE SEJAM CONSIDERADAS LEGALMENTE INVÁLIDAS. A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSÁVEL POR DANOS INCIDENTAIS OU CONSEQÜENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM AVISO PRÉVIO.

Veritas Technologies LLC
2625 Agostinho Drive
Santa Clara, CA 95054