Veritas heeft kwetsbaarheden verholpen in BackupExec. Een lokale kwaadwillende kan de kwetsbaarheden misbruiken om middels een DLL-injectie willekeurige code uit te voeren, of om willekeurige bestanden te kunnen verwijderen van het systeem en zo mogelijk een Denial-of-Service te veroorzaken.

NCSC-2024-0188 [1.00] [De kans op misbruik van deze kwetsbaarheid is gemiddeld en de schade is hoog] Kwetsbaarheden verholpen in Veritas BackupExec

Veritas heeft recentelijk kwetsbaarheden verholpen in hun software BackupExec. Deze kwetsbaarheden konden door een lokale kwaadwillende worden misbruikt voor het uitvoeren van willekeurige code via DLL-injectie, of voor het verwijderen van bestanden van het systeem wat mogelijk een Denial-of-Service aanval tot gevolg zou kunnen hebben.

BackupExec is een back-up en recovery oplossing van Veritas die wordt gebruikt door bedrijven en organisaties om hun gegevens te beschermen en te herstellen in geval van dataverlies. Het product kan worden gebruikt door systeembeheerders en IT-personeel in verschillende sectoren, zoals de gezondheidszorg, financiën, overheid en het bedrijfsleven.

Het niet verhelpen van deze kwetsbaarheden kan leiden tot ernstige gevolgen voor de gebruikers van BackupExec. Een kwaadwillende kan bijvoorbeeld gevoelige informatie stelen, bestanden verwijderen of essentiële systemen platleggen, wat kan resulteren in financiële verliezen, reputatieschade of verstoring van bedrijfsprocessen. Daarom is het essentieel dat dit soort beveiligingsrisico’s tijdig worden geïdentificeerd en opgelost door de leverancier.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl