圖片來源: 

Veeam

備份與資料保護軟體廠商Veeam,於9月4日發布Veeam Backup & Replication備份軟體、Veeam Agent for Linux備份代理程式、Veeam ONE監控工具,Veeam Service Provider Console遠端管理控制臺,還有Veeam Backup for Nutanix AHV Plug-In程式,以及Veeam Backup for Oracle Linux Virtualization Manager and Red Hat Virtualization Plug-In等6套產品或工具,一共18個漏洞,並分別釋出修補版本。

這些漏洞中,包括5個重大資安漏洞CVE-2024-40711、CVE-2024-42024、CVE-2024-42019、CVE-2024-38650與CVE-2024-39714,8個高風險漏洞CVE-2024-40713、CVE-2024-40710、CVE-2024-39718、CVE-2024-40714、CVE-2024-42023、CVE-2024-39715、CVE-2024-38651、CVE-2024-40718,以及5個低風險漏洞CVE-2024-40712、CVE-2024-40709、CVE-2024-42021、CVE-2024-42022、CVE-2024-42020。其中7項漏洞是外部研究人員發現與通報,其餘則是Veeam內部測試中發現。

無論就漏洞數量、涉及的產品範圍,以及漏洞的嚴重程度來看,Veeam這次發佈的安全公告,都是該公司過去罕見的重大安全更新。

接下來我們依照不同產品線,依序介紹這些漏洞的情況。

首先是Veeam的核心產品Veeam Backup & Replication備份軟體,一共有6個漏洞,最嚴重的是CVE-2024-40711未授權遠端執行程式碼,這是Veeam評為嚴重性9.8分(滿分10分)的重大漏洞。

次之的是4個高風險漏洞,包括嚴重性8.8分的CVE-2024-40713,會允許低權限使用者更改多因素身分驗證(MFA)設定並繞過MFA,還有同為8.8分嚴重性的CVE-2024-40710,允許低權限使用者遠端執行程式碼並獲得敏感資訊(如憑證與密碼),再來是8.1分的CVE-2024-39718,允許低權限使用者依其帳戶權限從遠端刪除系統上的檔案,以及8.3分的CVE-2024-40714,允許同一網路上的攻擊者透過TLS(傳輸層安全)驗證漏洞,在資料還原作業期間攔截敏感憑證。

最後是1個嚴重性7.8分的低風險漏洞CVE-2024-40712,允許低權限用戶與擁有本機存取權限的攻擊者提升本機權限。

受影響的產品版本,包括12.1.2.172版與所有更早的12版Veeam Backup & Replication,解決方法是升級到12.2版(build 12.2.0.334版)。

第2個受影響的產品,是Veeam Backup & Replication在Linux平臺上的備份代理程式Veeam Agent for Linux,含有1個嚴重性7.8分的低風險漏洞,允許本機低權限使用者提升為root權限,會影響6.1.2.1781版以前的所有6.x版Linux代理程式,解決方案是升級到6.2版(build 6.2.0.101版),這個更新檔案已包含在Veeam Backup & Replication 12.2版之中。

第3個受影響的產品,是搭配Veeam Backup & Replication的2項Plug-In程式——Veeam Backup for Nutanix AHV Plug-In,以及Veeam Backup for Oracle Linux Virtualization Manager and Red Hat Virtualization Plug-In,這些Plug-In是安裝在Veeam備份伺服器上,以便用於備份Nutanix AHV與Oracle Linux環境,但2者都存在嚴重性8.8分的高風險漏洞CVE-2024-40718,允許低權限使用者利用SSRF漏洞(伺服器端偽造請求)提升本機權限,會影響前者12.5.1.8版與更早的12.x版,以及後者的12.4.1.45版與更早的12.x版,解決方式是分別升級到12.6.0.632版與12.5.0.299,都已包含在Veeam Backup & Replication 12.2版之中。

第4項受影響的產品是Veeam ONE,這是用於監控本地端Veeam備份環境、vSphere與Hyper-V虛擬平臺的監控與報告工具,一共含有6個漏洞。

最嚴重的是2個重大漏洞,首先是9.1分的CVE-2024-42024,允許Veeam ONE Agent帳戶憑證的攻擊者,對環境中所有安裝Veeam ONE Agent的電腦遠端執行程式碼。其次是嚴重性9.0分的CVE-2024-42019,允許攻擊者存取Veeam Reporter Service服務帳戶密碼的NTLM雜湊。

然後是嚴重性8.8分的高風險漏洞CVE-2024-42023,允許低權限使用者以管理員權限遠端執行程式碼。

最後是3個低風險漏洞,包括嚴重性7.5分、允許擁有有效存取tokens的攻擊者存取已儲存憑證的CVE-2024-42021漏洞;嚴重性7.5分、允許攻擊者修改產品設定檔的的CVE-2024-42022漏洞;嚴重性7.3分、Reporter Widgets報表元件遭HTML注入攻擊的CVE-2024-42020漏洞。

前述漏洞會影響12.1.0.3208版與更早12.x版的Veeam ONE,解決方法是升級到12.2版(build 12.2.0.4093版)。

第5個受影響的產品,是用於跨本地、雲端應用環境的遠端監控與管理工具Veeam Service Provider Console(VSPC),一共含有4項漏洞。

其中最嚴重的是2個嚴重性高達9.9分的重大漏洞,首先是CVE-2024-38650,允許低權限使用者存取VSPC伺服器上服務帳戶密碼的NTLM雜湊。然後是CVE-2024-39714,允許低權限使用者將任意檔案上傳到伺服器,從而導致在VSPC伺服器上遠端執行程式碼。

接下來是2個嚴重性同為8.5分的高風險漏洞,包括CVE-2024-39715漏洞,允許擁有REST API存取權限的低權限使用者,利用REST API將任意檔案從遠端上傳到VSPC伺服器,從而導致在VSPC伺服器上遠端執行程式碼。以及CVE-2024-38651漏洞,允許低權限使用者覆蓋VSPC伺服器上的檔案,從而在 VSPC伺服器上遠端執行程式碼。

這些漏洞會影響8.0.0.19552版以及更早8.x版Veeam Service Provider Console,解決方法是升級到8.1版(build 8.1.0.21377版)。

雖然Veeam官方針對前述漏洞,都發佈了修補用的更新版本,不過在Veeam官方的R&D論壇上,有多個用戶對於被強制升級到最新版本表示不安,不願成為新版本的早期使用者,另一些用戶則對Veeam Backup & Replication只能透過完整的12.2版ISO檔來升級,而沒有較小規模的修補檔案,以及缺乏提供漏洞詳情感到不便。

Veeam官方則回應受資源限制,該公司的政策是以提供最新版本方式來修補漏洞,,並表示該公司已對新版本進行大規模測試驗證,用戶不會成為早期試用者。另外Veeam官方還提到,預定在下一個Veeam Backup & Replication新版本即13版,引進自動更新功能,屆時將能顯著簡化用戶的修補工作。

熱門新聞

Advertisement