Veeam

不久前的5月21日，備份與資料保護軟體廠商Veeam，發布Veeam Backup & Replication備份軟體12.1.2.172更新版本，修補Veeam Backup Enterprise Manager（VBEM）集中管理控制臺的4個漏洞，但只提及這些漏洞造成的影響，而未提供技術細節。

而資安研究人員Sina Kheirkha則於日前針對Veeam修補的漏洞中，嚴重程度最高的CVE-2024-29849，揭露了技術細節，以及可行的利用漏洞方式。

Veeam官方的聲明中表示，CVE-2024-29849是個嚴重性評分高達9.8分（滿分10分）的重大漏洞，會允許未經身分驗證的攻擊者登入VBEM，等同允許攻擊者任意執行VBEM的管理功能。

但Veeam的官方訊息只揭露這個漏洞屬於繞過身分驗證性質，而沒有細節資訊。Sina Kheirkha則表示，經他的研究後，這項漏洞是「Veeam.Backup.Enterprise.RestAPIService.exe」（以下簡稱Veeam API）所導致，這項服務是在安裝VBEM過程中安裝，會監聽（listens）TCP 9398埠，作為Web應用程式的REST API伺服器。

攻擊者可向存在漏洞的這個Veeam API，發送特別製作的VMware單一登入 （single-sign-on，SSO）token，而token中則包含假冒管理者用戶的身分驗證請求，以及用於驗證SSO token的STSService URL網址。

這個SSO token是透過Base64型式編碼，Veeam API將以XML型式對其執行解碼與解讀，並向攻擊者指定的SSO驗證URL網址，發出基於簡單物件存取協定（SOAP）的請求，來驗證這個SSO token的有效性。但這個URL網址，會將SOAP請求導向到攻擊者設定與控制的惡意伺服器，並正面回應Veeam API發出的驗證請求、確認攻擊者發出的SSO token是有效的，從而讓Veeam API接受攻擊者的身分驗證請求，並授予攻擊者管理者存取權限。

Sina Kheirkha的分析顯示，問題是出在Veeam API的SSO token驗證程式並不完備，用於驗證SSO token有效與否的STSService URL網址，本身並不會經過驗證，所以攻擊者可以將SSO token驗證請求，導向到自己控制的惡意伺服器伺服器上，所以Veeam API向惡意伺服器詢問攻擊者的SSO token是否有效時，自然會得到「有效」的回應。

Veeam官方建議用戶盡快升級到12.1.2.172以上版本，以修補前述漏洞。而無法立即升級到的用戶，則可透過這些方式來緩解，包括：限制網路存取，只允許受限制的IP位址連接VBEM的網頁控制臺；設定防火牆規則，阻擋對於Veeam API使用的連接埠非授權存取；為所有使用VBEM的用戶設定多身分驗證；定期檢視系統日誌，以及早發現任何可以的存取限制；將VBEM伺服器與其他關鍵系統的網路相互隔離，以減少橫向移動攻擊的風險。