Veeam

不久前的5月21日，备份与数据保护软件厂商Veeam，发布Veeam Backup & Replication备份软件12.1.2.172更新版本，修补Veeam Backup Enterprise Manager（VBEM）集中管理控制台的4个漏洞，但只提及这些漏洞造成的影响，而未提供技术细节。

而资安研究人员Sina Kheirkha则于日前针对Veeam修补的漏洞中，严重程度最高的CVE-2024-29849，揭露了技术细节，以及可行的利用漏洞方式。

Veeam官方的声明中表示，CVE-2024-29849是个严重性评分高达9.8分（满分10分）的重大漏洞，会允许未经身分验证的攻击者登录VBEM，等同允许攻击者任意运行VBEM的管理功能。

但Veeam的官方消息只揭露这个漏洞属于绕过身分验证性质，而没有细节信息。Sina Kheirkha则表示，经他的研究后，这项漏洞是「Veeam.Backup.Enterprise.RestAPIService.exe」（以下简称Veeam API）所导致，这项服务是在安装VBEM过程中安装，会监听（listens）TCP 9398端口，作为Web应用程序的REST API服务器。

攻击者可向存在漏洞的这个Veeam API，发送特别制作的VMware单一登录 （single-sign-on，SSO）token，而token中则包含假冒管理者用户的身分验证请求，以及用于验证SSO token的STSService URL网址。

这个SSO token是通过Base64型式编码，Veeam API将以XML型式对其运行解码与解读，并向攻击者指定的SSO验证URL网址，发出基于简单对象存取协定（SOAP）的请求，来验证这个SSO token的有效性。但这个URL网址，会将SOAP请求导向到攻击者设置与控制的恶意服务器，并正面回应Veeam API发出的验证请求、确认攻击者发出的SSO token是有效的，从而让Veeam API接受攻击者的身分验证请求，并授予攻击者管理者存取权限。

Sina Kheirkha的分析显示，问题是出在Veeam API的SSO token验证进程并不完备，用于验证SSO token有效与否的STSService URL网址，本身并不会经过验证，所以攻击者可以将SSO token验证请求，导向到自己控制的恶意服务器服务器上，所以Veeam API向恶意服务器询问攻击者的SSO token是否有效时，自然会得到「有效」的回应。

Veeam官方建议用户尽快升级到12.1.2.172以上版本，以修补前述漏洞。而无法立即升级到的用户，则可通过这些方式来缓解，包括：限制网络存取，只允许受限制的IP位址连接VBEM的网页控制台；设置防火墙规则，阻挡对于Veeam API使用的连接端口非授权存取；为所有使用VBEM的用户设置多身分验证；定期视图系统日志，以及早发现任何可以的存取限制；将VBEM服务器与其他关键系统的网络相互隔离，以减少横向移动攻击的风险。