Acronis修補備份軟體Plug-in程式的重大資安漏洞

資料保護軟體與服務廠商Acronis，於9月16日發布旗下Acronis Backup備份軟體Plug-in程式的更新通報，提醒用戶盡速更新軟體，以修補其中含有的重大資安漏洞CVE-2024-8767。

CVE-2024-8767是Acronis評為嚴重性9.9分（滿分10分）的重大漏洞，是Plug-in程式的權限設定不當導致，可能會讓受影響的伺服器敏感資訊外洩，並讓攻擊者執行未授權的操作。

受這個漏洞影響的Acronis Backup備份Plug-in程式，包括搭配cPanel & WHM、Plesk與DirectAdmin等3款Linux平臺主機與網站管理工具的Plug-in程式，這些Plug-in程式的用途是將前述管理工具的資料，備份到Acronis Backup環境中。Acronis建議將搭配cPanel & WHM與Plesk的Plug-in程式，分別更新到1.8.0版，而搭配DirectAdmin的Plug-in則更新到1.2.0版。

事實上，Acronis早在2023年5到6月間，就已發布前述Plug-in程式的修補版本，但時隔1年後，該公司發現許多受影響的用戶端系統仍未更新，導致這些系統暴露在攻擊風險中，因而日前再次發布通報，提醒用戶盡速更新。

除了Acronis以外，另一備份軟體大廠Veeam，也在9月初修補旗下備份軟體的代理程式（Agent）與Plug-in程式高風險漏洞。這顯示備份軟體除了主程式本身外，搭配不同應用平臺的代理程式與Plug-in，已成為重大資安漏洞的來源之一。

備份代理程式與Plug-in的目的，是將各式各樣應用平臺的備份作業，整合到備份主程式中，以便將這些應用平臺的資料納入到備份保護範圍內。但這些代理程式與Plug-in所潛藏的漏洞，也會影響到安裝的應用平臺主機，以及備份環境的安全。然而相對於備份主程式，代理程式與Plug-in受到的關注相對較低，而且類型龐雜，不同應用平臺各自有專屬的代理程式與Plug-in，更容易為用戶所忽略，如這次Acronis便發現，在該公司發布修補程式過後1年，仍有大量用戶端未進行更新。