Veeam

備份與資料保護軟體廠商Veeam，於9月4日發布Veeam Backup & Replication備份軟體、Veeam Agent for Linux備份代理程式、Veeam ONE監控工具，Veeam Service Provider Console遠端管理控制臺，還有Veeam Backup for Nutanix AHV Plug-In程式，以及Veeam Backup for Oracle Linux Virtualization Manager and Red Hat Virtualization Plug-In等6套產品或工具，一共18個漏洞，並分別釋出修補版本。

這些漏洞中，包括5個重大資安漏洞CVE-2024-40711、CVE-2024-42024、CVE-2024-42019、CVE-2024-38650與CVE-2024-39714，8個高風險漏洞CVE-2024-40713、CVE-2024-40710、CVE-2024-39718、CVE-2024-40714、CVE-2024-42023、CVE-2024-39715、CVE-2024-38651、CVE-2024-40718，以及5個低風險漏洞CVE-2024-40712、CVE-2024-40709、CVE-2024-42021、CVE-2024-42022、CVE-2024-42020。其中7項漏洞是外部研究人員發現與通報，其餘則是Veeam內部測試中發現。

無論就漏洞數量、涉及的產品範圍，以及漏洞的嚴重程度來看，Veeam這次發佈的安全公告，都是該公司過去罕見的重大安全更新。

接下來我們依照不同產品線，依序介紹這些漏洞的情況。

首先是Veeam的核心產品Veeam Backup & Replication備份軟體，一共有6個漏洞，最嚴重的是CVE-2024-40711未授權遠端執行程式碼，這是Veeam評為嚴重性9.8分（滿分10分）的重大漏洞。

次之的是4個高風險漏洞，包括嚴重性8.8分的CVE-2024-40713，會允許低權限使用者更改多因素身分驗證（MFA）設定並繞過MFA，還有同為8.8分嚴重性的CVE-2024-40710，允許低權限使用者遠端執行程式碼並獲得敏感資訊（如憑證與密碼），再來是8.1分的CVE-2024-39718，允許低權限使用者依其帳戶權限從遠端刪除系統上的檔案，以及8.3分的CVE-2024-40714，允許同一網路上的攻擊者透過TLS（傳輸層安全）驗證漏洞，在資料還原作業期間攔截敏感憑證。

最後是1個嚴重性7.8分的低風險漏洞CVE-2024-40712，允許低權限用戶與擁有本機存取權限的攻擊者提升本機權限。

受影響的產品版本，包括12.1.2.172版與所有更早的12版Veeam Backup & Replication，解決方法是升級到12.2版（build 12.2.0.334版）。

第2個受影響的產品，是Veeam Backup & Replication在Linux平臺上的備份代理程式Veeam Agent for Linux，含有1個嚴重性7.8分的低風險漏洞，允許本機低權限使用者提升為root權限，會影響6.1.2.1781版以前的所有6.x版Linux代理程式，解決方案是升級到6.2版（build 6.2.0.101版），這個更新檔案已包含在Veeam Backup & Replication 12.2版之中。

第3個受影響的產品，是搭配Veeam Backup & Replication的2項Plug-In程式——Veeam Backup for Nutanix AHV Plug-In，以及Veeam Backup for Oracle Linux Virtualization Manager and Red Hat Virtualization Plug-In，這些Plug-In是安裝在Veeam備份伺服器上，以便用於備份Nutanix AHV與Oracle Linux環境，但2者都存在嚴重性8.8分的高風險漏洞CVE-2024-40718，允許低權限使用者利用SSRF漏洞（伺服器端偽造請求）提升本機權限，會影響前者12.5.1.8版與更早的12.x版，以及後者的12.4.1.45版與更早的12.x版，解決方式是分別升級到12.6.0.632版與12.5.0.299，都已包含在Veeam Backup & Replication 12.2版之中。

第4項受影響的產品是Veeam ONE，這是用於監控本地端Veeam備份環境、vSphere與Hyper-V虛擬平臺的監控與報告工具，一共含有6個漏洞。

最嚴重的是2個重大漏洞，首先是9.1分的CVE-2024-42024，允許Veeam ONE Agent帳戶憑證的攻擊者，對環境中所有安裝Veeam ONE Agent的電腦遠端執行程式碼。其次是嚴重性9.0分的CVE-2024-42019，允許攻擊者存取Veeam Reporter Service服務帳戶密碼的NTLM雜湊。

然後是嚴重性8.8分的高風險漏洞CVE-2024-42023，允許低權限使用者以管理員權限遠端執行程式碼。

最後是3個低風險漏洞，包括嚴重性7.5分、允許擁有有效存取tokens的攻擊者存取已儲存憑證的CVE-2024-42021漏洞；嚴重性7.5分、允許攻擊者修改產品設定檔的的CVE-2024-42022漏洞；嚴重性7.3分、Reporter Widgets報表元件遭HTML注入攻擊的CVE-2024-42020漏洞。

前述漏洞會影響12.1.0.3208版與更早12.x版的Veeam ONE，解決方法是升級到12.2版（build 12.2.0.4093版）。

第5個受影響的產品，是用於跨本地、雲端應用環境的遠端監控與管理工具Veeam Service Provider Console（VSPC），一共含有4項漏洞。

其中最嚴重的是2個嚴重性高達9.9分的重大漏洞，首先是CVE-2024-38650，允許低權限使用者存取VSPC伺服器上服務帳戶密碼的NTLM雜湊。然後是CVE-2024-39714，允許低權限使用者將任意檔案上傳到伺服器，從而導致在VSPC伺服器上遠端執行程式碼。

接下來是2個嚴重性同為8.5分的高風險漏洞，包括CVE-2024-39715漏洞，允許擁有REST API存取權限的低權限使用者，利用REST API將任意檔案從遠端上傳到VSPC伺服器，從而導致在VSPC伺服器上遠端執行程式碼。以及CVE-2024-38651漏洞，允許低權限使用者覆蓋VSPC伺服器上的檔案，從而在 VSPC伺服器上遠端執行程式碼。

這些漏洞會影響8.0.0.19552版以及更早8.x版Veeam Service Provider Console，解決方法是升級到8.1版（build 8.1.0.21377版）。

雖然Veeam官方針對前述漏洞，都發佈了修補用的更新版本，不過在Veeam官方的R&D論壇上，有多個用戶對於被強制升級到最新版本表示不安，不願成為新版本的早期使用者，另一些用戶則對Veeam Backup & Replication只能透過完整的12.2版ISO檔來升級，而沒有較小規模的修補檔案，以及缺乏提供漏洞詳情感到不便。

Veeam官方則回應受資源限制，該公司的政策是以提供最新版本方式來修補漏洞，，並表示該公司已對新版本進行大規模測試驗證，用戶不會成為早期試用者。另外Veeam官方還提到，預定在下一個Veeam Backup & Replication新版本即13版，引進自動更新功能，屆時將能顯著簡化用戶的修補工作。