研究人員揭露Veeam剛修補的重大漏洞技術細節與利用方式
支付動態 · 2024-06-14

Veeam剛完成修補的備份集中管理控制臺繞過身分驗證漏洞,由研究人員進一步揭露可行的攻擊方式

Veeam

不久前的5月21日,備份與資料保護軟體廠商Veeam,發布Veeam Backup & Replication備份軟體12.1.2.172更新版本,修補Veeam Backup Enterprise Manager(VBEM)集中管理控制臺的4個漏洞,但只提及這些漏洞造成的影響,而未提供技術細節。

而資安研究人員Sina Kheirkha則於日前針對Veeam修補的漏洞中,嚴重程度最高的CVE-2024-29849,揭露了技術細節,以及可行的利用漏洞方式。

Veeam官方的聲明中表示,CVE-2024-29849是個嚴重性評分高達9.8分(滿分10分)的重大漏洞,會允許未經身分驗證的攻擊者登入VBEM,等同允許攻擊者任意執行VBEM的管理功能。

但Veeam的官方訊息只揭露這個漏洞屬於繞過身分驗證性質,而沒有細節資訊。Sina Kheirkha則表示,經他的研究後,這項漏洞是「Veeam.Backup.Enterprise.RestAPIService.exe」(以下簡稱Veeam API)所導致,這項服務是在安裝VBEM過程中安裝,會監聽(listens)TCP 9398埠,作為Web應用程式的REST API伺服器。

攻擊者可向存在漏洞的這個Veeam API,發送特別製作的VMware單一登入 (single-sign-on,SSO)token,而token中則包含假冒管理者用戶的身分驗證請求,以及用於驗證SSO token的STSService URL網址。

這個SSO token是透過Base64型式編碼,Veeam API將以XML型式對其執行解碼與解讀,並向攻擊者指定的SSO驗證URL網址,發出基於簡單物件存取協定(SOAP)的請求,來驗證這個SSO token的有效性。但這個URL網址,會將SOAP請求導向到攻擊者設定與控制的惡意伺服器,並正面回應Veeam API發出的驗證請求、確認攻擊者發出的SSO token是有效的,從而讓Veeam API接受攻擊者的身分驗證請求,並授予攻擊者管理者存取權限。

Sina Kheirkha的分析顯示,問題是出在Veeam API的SSO token驗證程序並不完備,用於驗證SSO token有效與否的STSService URL網址,本身並不會經過驗證,所以攻擊者可以將SSO token驗證請求,導向到自己控制的惡意伺服器伺服器上,所以Veeam API向惡意伺服器詢問攻擊者的SSO token是否有效時,自然會得到「有效」的回應。

Veeam官方建議用戶盡快升級到12.1.2.172以上版本,以修補前述漏洞。而無法立即升級到的用戶,則可透過這些方式來緩解,包括:限制網路存取,只允許受限制的IP位址連接VBEM的網頁控制臺;設定防火牆規則,阻擋對於Veeam API使用的連接埠非授權存取;為所有使用VBEM的用戶設定多身分驗證;定期檢視系統日誌,以及早發現任何可以的存取限制;將VBEM伺服器與其他關鍵系統的網路相互隔離,以減少橫向移動攻擊的風險。

Popular articles
Zenith partners with HUIDU for 2026 World Cup Carnival Official Tour
Online Game
SBC Summit Canada to Make Player Safety a Key Pillar of 2026 Agenda
Marketing
1spin4win grows its Latin American presence by partnering with Fortuna Juegos
Online Game
Full House at GAT Expo Cartagena 2026 Academic Agenda
Online Game
Kazakhstan plans to penalise online casino promotions
Regulation
Institutional Academy that exceeded expectations marked the opening of GAT CDMX
Online Game
Vietnam's tightening online gaming policy creates new market opportunities
Southeast Asia
1spin4win releases unique slot Don Catleone Hold and Win featuring gangster cats
Online Game
That’s a Wrap: AffPapa Conference Madrid 2026 Highlights
Online Game
GAT Expo Puerto Rico Will Pulse with the New Era of Gaming in the Caribbean
Marketing
Gaming & Technology Expo Makes a Powerful Entrance in CDMX
Marketing
Vietnam’s Controlled Gaming Shift Gains Ground, But Domestic Demand Still Lags
Southeast Asia
New Jersey July Gambling Revenue Hits $606M, Sweeps Casinos Banned
Regulation
Online gambling, crypto pose ongoing money laundering risks in Philippines, analyst says
Southeast Asia
Manila delivers: Highlights from SiGMA Asia 2026 
Southeast Asia
Home
Game
Cooperation
Find
My