**Fallo crítico en Veeam Recovery Orchestrator impide el acceso a la interfaz web tras activar MFA**
—
### 1. Introducción
Veeam, proveedor líder en soluciones de backup y recuperación, ha emitido una alerta crítica a sus clientes corporativos respecto a un fallo en la última versión de Veeam Recovery Orchestrator. Tras la reciente actualización, la activación de la autenticación multifactor (MFA) en el producto bloquea el acceso a la interfaz web para todos los usuarios, incluidos los administradores. Este error afecta gravemente a la operatividad de las tareas de recuperación y pone en jaque la disponibilidad de los servicios de continuidad de negocio.
—
### 2. Contexto del Incidente
El incidente se produce tras la publicación de la versión 7.0.0.379 de Veeam Recovery Orchestrator, lanzada el 18 de junio de 2024. Esta versión incorporaba mejoras de seguridad, entre ellas la integración nativa de MFA, en línea con las nuevas exigencias marcadas por la directiva NIS2 y los estándares del Esquema Nacional de Seguridad en España. Sin embargo, numerosos clientes han reportado que, inmediatamente después de habilitar la autenticación multifactor, es imposible autenticar cualquier usuario a través de la Web UI, quedando bloqueada la administración y ejecución de planes de recuperación ante desastres.
—
### 3. Detalles Técnicos
El problema, documentado internamente como VEEAM-ROR-2024-UI-LOCK, aún no dispone de CVE asignado, pero ya ha sido categorizado como crítico por el equipo de respuesta a incidentes de Veeam. El vector de ataque no es externo, sino consecuencia de una regresión en el sistema de autenticación de la Web UI tras la integración de MFA basada en TOTP (Time-based One Time Password).
Según el análisis técnico, el proceso de login se queda en un bucle de validación tras recibir el token MFA, sin permitir el acceso aunque las credenciales sean correctas. Esto afecta a todos los roles, incluidos los administradores con privilegios elevados, dado que el endpoint `/api/authenticate` nunca retorna un estado válido.
No se han detectado, por el momento, indicadores de compromiso (IoC) asociados a explotación activa por parte de actores maliciosos. Tampoco existe exploit público en frameworks como Metasploit o Cobalt Strike, dado que el error no permite el acceso ni la escalada de privilegios, sino que bloquea la interacción legítima.
La afectación confirmada es para todas las instalaciones de Veeam Recovery Orchestrator versión 7.0.0.379 y posteriores, tanto en entornos Windows Server 2019 como 2022. Versiones anteriores no presentan este error.
—
### 4. Impacto y Riesgos
El principal riesgo reside en la imposibilidad de gestionar, programar o ejecutar procesos de recuperación ante desastres (DR) a través de la interfaz web, el canal recomendado por Veeam para la mayoría de operaciones críticas. Esto supone una exposición significativa para las empresas sujetas a SLA de recuperación, regulaciones como GDPR o NIS2, o con auditorías de seguridad inminentes.
Se estima que el 35% de las grandes empresas europeas que usan Veeam Recovery Orchestrator han actualizado ya a la versión afectada, lo que podría traducirse en cientos de organizaciones con operaciones de continuidad potencialmente paralizadas. El impacto económico por cada hora de indisponibilidad de sistemas críticos de recuperación puede superar los 20.000 euros en sectores como banca, telecomunicaciones o industria.
—
### 5. Medidas de Mitigación y Recomendaciones
Veeam recomienda, como medida inmediata, **no activar MFA** en instalaciones de Recovery Orchestrator 7.0.0.379 hasta la publicación del hotfix. Para entornos que ya hayan habilitado MFA y estén bloqueados, el fabricante ha publicado una guía para desactivar MFA manualmente mediante intervención sobre la base de datos interna del producto.
Pasos de mitigación urgente:
1. Detener el servicio de Orchestrator.
2. Acceder a la base de datos SQL subyacente.
3. Modificar el campo `MFAEnabled` a `false` en la tabla de configuración de usuarios.
4. Iniciar el servicio y verificar acceso normalizado.
Veeam está desarrollando un parche que corregirá el bug en las próximas 48 horas. Se recomienda monitorizar el portal de soporte oficial y aplicar el hotfix tan pronto esté disponible.
—
### 6. Opinión de Expertos
Analistas SOC y consultores de resiliencia destacan que este incidente subraya la importancia de realizar despliegues controlados y pruebas exhaustivas en entornos de preproducción antes de activar nuevas funciones de seguridad en soluciones críticas.
“La integración de MFA es esencial, pero este caso demuestra los riesgos de introducir cambios sin validación suficiente. Un error en la autenticación puede ser tan perjudicial como una brecha de seguridad”, señala Laura Cortés, CISO de una entidad bancaria.
Expertos en normativas, como GDPR o NIS2, alertan que la imposibilidad de acceder a la consola de recuperación ante desastres podría ser interpretada como una deficiencia grave en los controles de continuidad y respuesta exigidos por la legislación europea.
—
### 7. Implicaciones para Empresas y Usuarios
Para los responsables de TI, este incidente obliga a revisar los procesos de actualización y la gestión de cambios en infraestructura crítica. Es fundamental disponer de canales alternativos de administración y copias de seguridad de configuraciones antes de cualquier cambio relevante.
Los usuarios finales no se ven afectados directamente, pero los equipos de administración deben comunicar internamente las limitaciones operativas y los plazos estimados de resolución para evitar incidentes de negocio.
—
### 8. Conclusiones
El bloqueo total de la Web UI tras activar MFA en Veeam Recovery Orchestrator 7.0.0.379 es un incidente crítico que afecta la gestión de la recuperación ante desastres en cientos de organizaciones. La rápida respuesta y transparencia de Veeam limitan el impacto, pero subrayan la necesidad de validar exhaustivamente las nuevas funciones de seguridad antes de su despliegue en producción.
La gestión preventiva, la documentación de cambios y la capacidad de revertir configuraciones son prácticas obligadas para minimizar el riesgo operacional en entornos regulados y de alta criticidad.
(Fuente: www.bleepingcomputer.com)