Veeam

备份与数据保护软件厂商Veeam，于9月4日发布Veeam Backup & Replication备份软件、Veeam Agent for Linux备份代理程序、Veeam ONE监控工具，Veeam Service Provider Console远程管理控制台，还有Veeam Backup for Nutanix AHV Plug-In程序，以及Veeam Backup for Oracle Linux Virtualization Manager and Red Hat Virtualization Plug-In等6套产品或工具，一共18个漏洞，并分别发布修补版本。

这些漏洞中，包括5个重大资安漏洞CVE-2024-40711、CVE-2024-42024、CVE-2024-42019、CVE-2024-38650与CVE-2024-39714，8个高风险漏洞CVE-2024-40713、CVE-2024-40710、CVE-2024-39718、CVE-2024-40714、CVE-2024-42023、CVE-2024-39715、CVE-2024-38651、CVE-2024-40718，以及5个低风险漏洞CVE-2024-40712、CVE-2024-40709、CVE-2024-42021、CVE-2024-42022、CVE-2024-42020。其中7项漏洞是外部研究人员发现与通报，其余则是Veeam内部测试中发现。

无论就漏洞数量、涉及的产品范围，以及漏洞的严重程度来看，Veeam这次发布的安全公告，都是该公司过去罕见的重大安全更新。

接下来我们依照不同产品线，依序介绍这些漏洞的情况。

首先是Veeam的核心产品Veeam Backup & Replication备份软件，一共有6个漏洞，最严重的是CVE-2024-40711未授权远程运行代码，这是Veeam评为严重性9.8分（满分10分）的重大漏洞。

次之的是4个高风险漏洞，包括严重性8.8分的CVE-2024-40713，会允许低权限用户更改多因素身分验证（MFA）设置并绕过MFA，还有同为8.8分严重性的CVE-2024-40710，允许低权限用户远程运行代码并获得敏感信息（如凭证与密码），再来是8.1分的CVE-2024-39718，允许低权限用户依其帐户权限从远程删除系统上的文件，以及8.3分的CVE-2024-40714，允许同一网络上的攻击者通过TLS（传输层安全）验证漏洞，在数据还原作业期间拦截敏感凭证。

最后是1个严重性7.8分的低风险漏洞CVE-2024-40712，允许低权限用户与拥有本机存取权限的攻击者提升本机权限。

受影响的产品版本，包括12.1.2.172版与所有更早的12版Veeam Backup & Replication，解决方法是升级到12.2版（build 12.2.0.334版）。

第2个受影响的产品，是Veeam Backup & Replication在Linux平台上的备份代理程序Veeam Agent for Linux，含有1个严重性7.8分的低风险漏洞，允许本机低权限用户提升为root权限，会影响6.1.2.1781版以前的所有6.x版Linux代理程序，解决方案是升级到6.2版（build 6.2.0.101版），这个更新文件已包含在Veeam Backup & Replication 12.2版之中。

第3个受影响的产品，是搭配Veeam Backup & Replication的2项Plug-In程序——Veeam Backup for Nutanix AHV Plug-In，以及Veeam Backup for Oracle Linux Virtualization Manager and Red Hat Virtualization Plug-In，这些Plug-In是安装在Veeam备份服务器上，以便用于备份Nutanix AHV与Oracle Linux环境，但2者都存在严重性8.8分的高风险漏洞CVE-2024-40718，允许低权限用户利用SSRF漏洞（服务器端伪造请求）提升本机权限，会影响前者12.5.1.8版与更早的12.x版，以及后者的12.4.1.45版与更早的12.x版，解决方式是分别升级到12.6.0.632版与12.5.0.299，都已包含在Veeam Backup & Replication 12.2版之中。

第4项受影响的产品是Veeam ONE，这是用于监控本地端Veeam备份环境、vSphere与Hyper-V虚拟平台的监控与报告工具，一共含有6个漏洞。

最严重的是2个重大漏洞，首先是9.1分的CVE-2024-42024，允许Veeam ONE Agent帐户凭证的攻击者，对环境中所有安装Veeam ONE Agent的电脑远程运行代码。其次是严重性9.0分的CVE-2024-42019，允许攻击者存取Veeam Reporter Service服务帐户密码的NTLM散列。

然后是严重性8.8分的高风险漏洞CVE-2024-42023，允许低权限用户以管理员权限远程运行代码。

最后是3个低风险漏洞，包括严重性7.5分、允许拥有有效存取tokens的攻击者存取已存储凭证的CVE-2024-42021漏洞；严重性7.5分、允许攻击者修改产品设置档的的CVE-2024-42022漏洞；严重性7.3分、Reporter Widgets报表组件遭HTML注入攻击的CVE-2024-42020漏洞。

前述漏洞会影响12.1.0.3208版与更早12.x版的Veeam ONE，解决方法是升级到12.2版（build 12.2.0.4093版）。

第5个受影响的产品，是用于跨本地、云端应用环境的远程监控与管理工具Veeam Service Provider Console（VSPC），一共含有4项漏洞。

其中最严重的是2个严重性高达9.9分的重大漏洞，首先是CVE-2024-38650，允许低权限用户存取VSPC服务器上服务帐户密码的NTLM散列。然后是CVE-2024-39714，允许低权限用户将任意文件上传到服务器，从而导致在VSPC服务器上远程运行代码。

接下来是2个严重性同为8.5分的高风险漏洞，包括CVE-2024-39715漏洞，允许拥有REST API存取权限的低权限用户，利用REST API将任意文件从远程上传到VSPC服务器，从而导致在VSPC服务器上远程运行代码。以及CVE-2024-38651漏洞，允许低权限用户覆盖VSPC服务器上的文件，从而在 VSPC服务器上远程运行代码。

这些漏洞会影响8.0.0.19552版以及更早8.x版Veeam Service Provider Console，解决方法是升级到8.1版（build 8.1.0.21377版）。

虽然Veeam官方针对前述漏洞，都发布了修补用的更新版本，不过在Veeam官方的R&D论坛上，有多个用户对于被强制升级到最新版本表示不安，不愿成为新版本的早期用户，另一些用户则对Veeam Backup & Replication只能通过完整的12.2版ISO档来升级，而没有较小规模的修补文件，以及缺乏提供漏洞详情感到不便。

Veeam官方则回应受资源限制，该公司的政策是以提供最新版本方式来修补漏洞，，并表示该公司已对新版本进行大规模测试验证，用户不会成为早期试用者。另外Veeam官方还提到，预定在下一个Veeam Backup & Replication新版本即13版，引进自动更新功能，届时将能显著简化用户的修补工作。