Veeam
备份与资料保护软体厂商Veeam,于5月21日发布Veeam Backup & Replication备份软体另外,这个更新版本也涵盖Veeam用于Windows环境的代理程式Veeam Agent for Windows,修补此元件内含的1个高风险漏洞CVE-2024-29853。
受影响的产品版本,包括Veeam Backup & Replication从5.0到12.1的所有版本,以及Veeam Agent for Windows的2.0到6.1版,也就是说,当前通行的版本都受到影响。
在备份软体领域,Veeam只算是个中生代的后进厂商,但借助针对虚拟化平台设计的崭新架构,短短10多年内就超越许多老牌厂商,成为备份软体的领导者之一,是当前最普遍使用的备份软体之一,因而Veeam产品的漏洞,影响的面向也格外深远。
这次出现问题的VBEM,是Veeam的集中管理控制台,可透过单一网页介面管理多个Veeam备份环境,是专门针对远端分支办公室与大规模部署环境的管理工具,管理者可以透过VBEM,同时监视多台备份伺服器控制的备份环境作业状态,搜寻这些备份环境的备份复本档案,并为VM与实体主机执行还原,还能操作资料的加解密处理。
而在这次修补的VBEM漏洞中,最严重的是CVE-2024-29849,Veeam对此漏洞的严重性评为9.8分(满分10分),允许未经身分验证的攻击者登入VBEM,等同允许攻击者任意执行VBEM的管理功能,这也意味著透过VBEM管理的多个备份环境面临重大风险,因为它们不仅因此暴露在攻击者面前,而能被任意存取,资料外泄的可能性大增。
不过VBEM并非Veeam预设启用的工具,是用户视需求自行决定安装与启用,所以并非所有Veeam备份环境都会受到影响。对于未升级到12.1.2.172更新版本的用户,也能透过停用VBEM相关的VeeamEnterpriseManagerSvc与VeeamRESTSvc服务,或是解除VBEM的安装,避免受到这个漏洞影响。
而在其余两个高风险漏洞中,严重程度被评为8.8分的漏洞CVE-2024-29850,则允许攻击者透过NTLM中继攻击接管帐户,严重性7.2分的漏洞CVE-2024-29851,则允许高权限使用者窃取VBEM服务帐号的NTLM杂凑(hash)(前提是该VBEM帐号不是本机系统预设帐号)。
而被列为低风险漏洞(严重性2.7分)的CVE-2024-29852,则允许高权限使用者读取备份作业日志。
至于此次更新一同修补的Windows代理程式漏洞CVE-2024-29853,则是严重性7.8分的高风险漏洞,则会允许攻击者提高本机权限(Local Privilege Escalation)。