研究人員揭露Veeam剛修補的重大漏洞技術細節與利用方式

不久前的5月21日，備份與資料保護軟體廠商Veeam，發布Veeam Backup & Replication備份軟體12.1.2.172更新版本，修補Veeam Backup Enterprise Manager（VBEM）集中管理控制臺的4個漏洞，但只簡略提及這些漏洞造成的影響，並建議用戶盡快升級以修補漏洞，而未交代具體的技術細節。

最近資安研究人員Sina Kheirkha則針對嚴重程度最高的CVE-2024-29849，提出了他的分析結果，以及可行的利用漏洞方式。

早先Veeam官方的聲明中，僅提到 CVE-2024-29849是個嚴重性評分高達9.8分（滿分10分）的重大漏洞，，並表示此弱點允許未經身分驗證的攻擊者登入VBEM，等同允許攻擊者任意執行VBEM的管理功能，但他們只揭露這個漏洞屬於繞過身分驗證性質，並未細部描述問題所在。

為了探究這當中的狀況，Sina Kheirkha進行研究，他表示，問題出在「Veeam.Backup.Enterprise.RestAPIService.exe」（以下簡稱Veeam API），這項服務是在安裝VBEM過程時而帶入系統，作用是監聽TCP 9398埠，針對網頁應用程式本身的執行，提供REST API伺服器的服務。

攻擊者可向存在漏洞的這個Veeam API，發送特製的VMware單一登入 （single-sign-on，SSO）token，而token裡面含有多種資訊，像是假冒管理者用戶的身分驗證請求，以及用於驗證SSO token的STSService URL網址。

這個SSO token是先經過Base64編碼轉換處理，後續Veeam API接收後，會將這段內容進行解碼置入位元組陣列、再轉換成字串，接著用XML文件的實體對其執行解碼與查詢，並向攻擊者指定的SSO驗證URL網址，發出基於簡單物件存取協定（SOAP）的請求，來驗證這個SSO token的有效性。

但這個URL網址，會將SOAP請求導向到攻擊者設定與控制的惡意伺服器，並正面回應Veeam API發出的驗證請求、確認攻擊者發出的SSO token是有效的，從而讓Veeam API接受攻擊者的身分驗證請求，並授予攻擊者管理者存取權限。

Sina Kheirkha的分析顯示，問題是出在Veeam API的SSO token驗證程序並不完備，用於驗證SSO token有效與否的STSService URL網址，本身並不會經過驗證，所以攻擊者可以將SSO token驗證請求，導向到自己控制的惡意伺服器上，所以Veeam API向惡意伺服器詢問攻擊者的SSO token是否有效時，自然會得到「有效」的回應。

Sina Kheirkha在其報告中，提出了實作案例，驗證透過前述手法，成功利用Veeam API漏洞獲得VBEM管理者權限的可行性。