Veeam修補本地端與Azure備份軟體多個漏洞，包括提升權限的重大漏洞

備份與資料保護軟體廠商Veeam，自去年（2024）12月到今年1月中，接連發布旗下Veeam Backup & Replication備份軟體的9個漏洞，與Veeam Backup for Microsoft Azure備份軟體的1個漏洞，並釋出修補版本。

在Veeam Backup & Replication方面，包括影響備份伺服器的8個漏洞，其中最嚴重的是嚴重性評分均為8.8的4個漏洞：CVE-2024-40717、CVE-2024-42452、CVE-2024-42453與CVE-2024-42456，分別會導致攻擊者透過Script腳本提升權限、藉由提升權限將檔案上傳ESXi主機，控制與修改虛擬化環境配置，以及提升權限獲得存取權與控制關鍵服務等問題，其餘4個漏洞則會導致存取憑證、刪除帳戶、外洩憑證NTLM 雜湊值等問題。

這些漏洞會影響12.2.0.334版以前，以及更早12.x版的Veeam Backup & Replication，解決方法是升級到12.3版。

另一個Veeam Backup & Replication漏洞CVE-2024-45207，是出現在搭配Windows平臺的Veeam Agent for Microsoft Windows代理程式，會導致DLL注入攻擊，解決方法是升級到6.3版代理程式，已包含在新的12.3版Veeam Backup & Replication中。

在Veeam Backup for Microsoft Azure方面，則是一個評分7.2分的漏洞，會導致攻擊者利用伺服器端請求偽造（Server-Side Request Forgery，SSRF），從系統發出未授權的請求，從而發起進一步攻擊。

這個漏洞會影響7.1.0.22版以前的Veeam Backup for Microsoft Azure，解決方法是更新到7.1.0.59以後版本。