Компания Veeam Software, занимающаяся разработкой решений для резервного копирования, быстро устранила уязвимость в платформе Veeam Service Provider Console (VSPC) благодаря сведениям от эксперта Positive Technologies.
Уязвимость CVE-2024-45206, выявленная Никитой Петровым, старшим специалистом по тестированию на проникновение в Positive Technologies, представляет собой уязвимость SSRF (Server-Side Request Forgery) и затрагивает версии VSPC от 7.x до 8.0.x. Она позволяла злоумышленникам отправлять произвольные HTTP-запросы от имени сервера, что могло угрожать внутренним сетям организаций. Рекомендуется обновить VSPC до версии 8.1.0.21377 или выше для снижения рисков.
Veeam является одним из крупнейших мировых поставщиков решений для резервного копирования, обслуживая более 550 тыс. клиентов, включая 74% компаний из списка Forbes Global 2000. Согласно данным Gartner, Veeam уже восемь лет подряд занимает лидирующие позиции на рынке репликации и защиты данных.
На январь 2025 года в мире насчитывалось 2587 потенциально уязвимых систем VSPC, в основном в США (26%) и Турции (20%), тогда как в России их доля составляет менее 1%.
Никита Петров подчеркнул, что уязвимость была наиболее опасной для крупных предприятий, использующих VSPC, поскольку злоумышленники могли получить доступ к внутренним ресурсам. Positive Technologies также ранее помогала Veeam в выявлении уязвимостей в других продуктах.
Для защиты от атак типа SSRF Positive Technologies рекомендует использовать межсетевые экраны для веб-приложений, решения для статического анализа кода, а также системы для обнаружения атак и межсетевые экраны нового поколения.
Ранее Positive Technologies приобрела долю в белорусском вендоре «Вирусблокада» и планирует выйти на рынок антивирусного программного обеспечения.
«Инвестиции в разработчика антивирусных решений позволяют Positive Technologies открыть новые рынки, предлагая клиентам продукты в зависимости от их уровня зрелости, начиная с базового уровня, где основное внимание уделяется антивирусным технологиям», – отметили в компании.
Названы ключевые уязвимости российских компаний в 2024 году
