关于Veeam Backup & Replication远程代码执行漏洞(CVE-2024-40711)的安全预警
一、 基本情况
Veeam Backup & Replication是一款功能强大的数据备份与恢复软件,它不仅可以保护虚拟化环境,还提供了跨平台的备份支持,为企业提供强大的数据保护功能,包括快速备份、即时恢复、灾难恢复和复制等功能,旨在确保数据的高可用性和业务的持续性。
二、 漏洞描述
Veeam Backup & Replication中修复了一个反序列化远程代码执行漏洞(CVE-2024-40711),其CVSS评分为9.8,目前该漏洞的技术细节及PoC已在互联网上公开,且已发现被利用。
Veeam Backup & Replication中存在反序列化漏洞和授权不当问题,CDbCryptoKeyInfo类(白名单可序列化类,可通过.NET Remoting反序列化访问)的反序列化过程中将二次调用 CProxyBinaryFormatter.Deserialize 方法(使用黑名单模式而不是之前的白名单模式),由于黑名单中对ObjRef类限制不当,以及IsConnectingIdentityAuthorized方法允许匿名连接,导致未经身份验证的攻击者可通过构造特定的序列化数据在反序列化时触发远程对象的调用,从而导致代码执行。
三、 影响范围
Veeam Backup & Replication < 12.2.0.334
注:官方已在Veeam Backup & Replication 12.2.0.334中完全修复该漏洞,Veeam Backup & Replication 12.1.2.172补丁版本中该漏洞可导致经过身份验证的RCE;Veeam Backup & Replication <= 12.1.1.56中该漏洞可导致未经身份验证的RCE。
四、 修复建议
目前该漏洞已经修复,受影响用户可升级到以下版本:
Veeam Backup & Replication >= 12.2.0.334
下载链接:
https://www.veeam.com/products/downloads.html
五、 参考链接
https://www.veeam.com/kb4649
https://labs.watchtowr.com/veeam-backup-response-rce-with-auth-but-mostly-without-auth-cve-2024-40711-2/
https://nvd.nist.gov/vuln/detail/CVE-2024-40711
https://www.veeam.com/kb4600