Origine : bjCSIRT

Numéro : 2024/ALERTE/014

Date de l’alerte : 07/03/2024

APERÇU :

DESCRIPTION :

Veritas NetBackup est une solution logicielle complète de sauvegarde et de récupération des données destinée aux entreprises et qui offre des fonctionnalités robustes de protection des données dans des environnements physiques, virtuels et cloud. 

Elle présente une vulnérabilité libellée CVE-2024-28222, qui permettrait à un acteur malveillant non authentifié d’injecter du code arbitraire sur les serveurs et les clients NetBackup. Elle est due à une vérification inadéquate des chemins des fichiers, permettant à un attaquant non authentifié de télécharger et d’exécuter un fichier personnalisé. 

Cette vulnérabilité est classée critique avec un score CVSS3 de 9.8.

IMPACT :

• Compromission du serveur ; 
• Élévation de privilège ; 
• Fuite de données sensibles. 

SYSTÈMES AFFECTÉS : 

• Toutes les versions de NetBackup antérieures à la version 8.1.2.
• Toutes les versions de NetBackup Appliance antérieures à la version 3.1.2.

MESURES À PRENDRE : 

• Mettre à jour NetBackup vers la version 8.3.0.2 ou ultérieure.
• Mettre à jour NetBackup Appliance vers la version 3.3.0.2 ou ultérieure. 

RÉFÉRENCES :

• https://securityonline.info/cve-2024-28222-cvss-9-8-veritas-netbackup-remote-code-execution-vulnerability/
• https://nvd.nist.gov/vuln/detail/CVE-2024-28222
• https://www.incibe.es/en/incibe-cert/early-warning/vulnerabilities/cve-2024-28222