Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos Veritas

Fecha de publicación 28/12/2020
Importancia
5 - Crítica
Recursos Afectados
  • Backup Exec, versiones BE 20.x, BE 21.x y 16.x. También pueden verse afectadas las versiones anteriores carentes de soporte.
  • Veritas System Recovery (VSR), solo las versiones para Windows: 21.1, 21, 18.0.4, 18.0.3, 18.0.2, 18.0.1, 18.0, 16.0.2, 16.0.1 y 16. También pueden verse afectadas las versiones anteriores carentes de soporte.
  • NetBackup y OpsCenter, versiones 8.3.0.1 y anteriores. Solo afecta a la plataforma Windows.
  • VRP/NetBackup Resiliency Platform, versiones 3.4 y 3.5. También pueden verse afectadas las versiones anteriores carentes de soporte.
  • Veritas InfoScale, versiones para Windows: 7.4.2, 7.4.1, 7.4, 7.3.1, 7.3, 7.2, 7.1, 7.0.1 y 7.0; Storage Foundation HA para Windows 6.1; y Storage Foundation para Windows 6.1. También pueden verse afectadas las versiones anteriores carentes de soporte.
  • Veritas InfoScale Operations Manager (VIOM), versiones para Windows Management Server: 7.4.2, 7.4, 7.3.1, 7.3, 7.2, 7.1 y 7.0. También pueden verse afectadas las versiones anteriores carentes de soporte.
  • Enterprise Vault, versiones 14.0, 12.5.2, 12.5.1, 12.5. 12.4.2. 12.4.1. 12.4, 12.3.2, 12.3.1, 12.3, 12.2.3, 12.2.2, 12.2.1, 12.2, 12.1.3, 12.1.2, 12.1.1, 12.1, 12.0.4, 12.0.3, 12.0.2, 12.0.1 y 12.0. También pueden verse afectadas las versiones anteriores carentes de soporte.
  • Veritas Desktop and Laptop Option (DLO), versiones 9.3.3, 9.3.2, 9.3.1, 9.3, 9.2, 9.1, 9.0.1, 9.0 y anteriores a 9.5. También pueden verse afectadas las versiones anteriores carentes de soporte.
  • NetBackup con CloudPoint, versiones 8.3.0.1 y 8.3.
  • CloudPoint, versiones 2.2.2, 2.2.1, 2.2, 2.1.2, 2.1.1, 2.1, 2.0.2, 2.0.1, 2.0, 1.0.2 y 1.0.
  • APTARE IT Analytics, versiones 10.5 y 10.4.
Descripción

Veritas ha publicado varios avisos que comprenden 11 vulnerabilidades, 10 críticas y 1 media, estando todas las críticas relacionadas con librerías de OpenSSL.

Solución

Aplicar las actualizaciones:

  • Backup Exec 21.1 Hotfix 657517 (versión 21.0.1200.1217);
  • Backup Exec 20.6 Hotfix 298543 (versión 20.0.1188.2734);
  • Para las versiones Backup Exec 16.X y anteriores: el fabricante recomienda actualizar a la versión Backup Exec 21.2.
  • Veritas System Recovery (VSR) 21.2;
  • OpenSSL Hotfix para NetBackup 8.1.2, NetBackup 8.2, NetBackup 8.3 o NetBackup 8.3.0.1;
  • VRP/NetBackup Resiliency Platform v3.6 (disponible en enero de 2021) o aplicar el parche para v3.4 o v3.5;
  • Veritas Desktop and Laptop Option (DLO) versión 9.5;
  • NetBackup 8.3.0.1 y aplicar el HotFix para NetBackup junto con los componentes de CloudPoint.

Estos hotfix estarán disponibles en el centro de descargas de Veritas para su descarga e instalación automática.

Como medida de mitigación alternativa para el producto Backup Exec, es posible crear, mediante una cuenta de administrador, el directorio '\usr\local\ssl' bajo la raíz de todas las unidades y establecer el ACL en el directorio para negar el acceso de escritura a todos los demás usuarios. Esto evitará que un atacante instale un motor OpenSSL malicioso.

Detalle

Un atacante con pocos privilegios en el sistema Windows y sin ningún privilegio en alguno de los productos afectados, podría crear un archivo de configuración especialmente diseñado, en una ruta específica, para cargar un motor OpenSSL malicioso y ejecutar código arbitrario como SYSTEM, cuando el servicio se inicia. Esto le otorgaría al atacante acceso de administrador en el sistema, permitiendo al atacante (por defecto) acceder a todos los datos, a todas las aplicaciones instaladas, etc. Si el sistema es también un controlador de dominio de Active Directory, esto podría afectar a todo el dominio.

Se ha asignado el identificador CVE-2019-12572 para esta vulnerabilidad en el producto Backup Exec.

Encuesta valoración