Veeam
备份与资料保护软体厂商Veeam,自去年(2024)12月到今年1月中,接连发布旗下Veeam Backup & Replication备份软体的在Veeam Backup & Replication方面,包括影响备份伺服器的8个漏洞,其中最严重的是严重性评分均为8.8的4个漏洞:CVE-2024-40717、CVE-2024-42452、CVE-2024-42453与CVE-2024-42456,分别会导致攻击者透过Script脚本提升权限、借由提升权限将档案上传ESXi主机,控制与修改虚拟化环境配置,以及提升权限获得存取权与控制关键服务等问题,其余4个漏洞则会导致存取凭证、删除帐户、外泄凭证NTLM 杂凑值等问题。
这些漏洞会影响12.2.0.334版以前,以及更早12.x版的Veeam Backup & Replication,解决方法是升级到12.3版。
另一个Veeam Backup & Replication漏洞CVE-2024-45207,是出现在搭配Windows平台的Veeam Agent for Microsoft Windows代理程式,会导致DLL注入攻击,解决方法是升级到6.3版代理程式,已包含在新的12.3版Veeam Backup & Replication中。
在Veeam Backup for Microsoft Azure方面,则是一个评分7.2分的漏洞,会导致攻击者利用伺服器端请求伪造(Server-Side Request Forgery,SSRF),从系统发出未授权的请求,从而发起进一步攻击。
这个漏洞会影响7.1.0.22版以前的Veeam Backup for Microsoft Azure,解决方法是更新到7.1.0.59以后版本。