Acronis

資料保護軟體與服務廠商Acronis，於9月16日發布旗下Acronis Backup備份軟體Plug-in程式的更新通報，提醒用戶盡速更新軟體，以修補其中含有的重大資安漏洞CVE-2024-8767。

CVE-2024-8767是Acronis評為嚴重性9.9分（滿分10分）的重大漏洞，問題出在Plug-in程式的權限設定不當，可能會讓受影響的伺服器發生敏感資訊外洩的狀況，並讓攻擊者執行未授權的操作。

受這個漏洞影響的Acronis Backup備份Plug-in程式，包括搭配cPanel & WHM、Plesk與DirectAdmin等3款Linux平臺主機與網站管理工具的Plug-in程式，這些Plug-in程式的用途是將前述管理工具的資料，備份到Acronis Backup環境中。Acronis建議將搭配cPanel & WHM與Plesk的Plug-in程式，分別更新到1.8.0版，而搭配DirectAdmin的Plug-in則更新到1.2.0版。

事實上，Acronis早在2023年5到6月間，就已發布前述Plug-in程式的修補版本，但時隔1年後，該公司發現許多受影響的用戶端系統仍未更新，導致這些系統暴露在攻擊風險中，因而日前再次發布通報，提醒用戶盡速更新。

除了Acronis，稍早我們曾報導另一備份軟體大廠Veeam，也揭露類似問題，他們在9月初修補備份軟體的代理程式（Agent）與Plug-in程式高風險漏洞。

這顯示備份軟體除了主程式本身外，搭配不同應用平臺的代理程式與Plug-in，已成為重大資安漏洞的來源之一。

備份代理程式與Plug-in的目的，是將各式各樣應用平臺的備份作業，整合到備份主程式中，以便將這些應用平臺的資料納入備份保護範圍。不過，這些代理程式與Plug-in潛藏的漏洞，也會影響安裝的應用平臺主機，以及備份環境的安全。

然而相對於備份主程式，代理程式與Plug-in受到的關注相對較低，而且類型龐雜，不同應用平臺各自有專屬的代理程式與Plug-in，使得用戶更容易忽略漏洞修補與更新事宜。這次Acronis遇到的狀況，便印證這個資安空窗，他們發現，該公司發布修補程式已經過1年之久，目前仍有大量用戶端未進行更新。