CVE-2023-27532 – Veeam备份与复制漏洞暴露存储凭据，无需身份验证

作者：Kudelski安全威胁检测与研究团队的Mark Stueck和Scott Emerson
发布日期：2023年3月10日

摘要

Veeam Software最近为其Veeam备份与复制产品发布了一个高严重性漏洞的安全更新和补丁。该漏洞存在于除最新版本外的所有产品版本中，且存在于默认配置中。被分配为CVE-2023-27532的漏洞允许未经身份验证的访问配置数据库中存储的“加密”凭据。不幸的是，虽然凭据在数据存储中是加密的，但它们在传输前由Veeam解决方案解密，这意味着成功利用此漏洞的攻击者可以获取明文凭据。

受影响系统和/或应用程序

所有版本的Veeam备份与复制都受到影响，除了以下使用指定ISO构建的新部署版本：

不受影响的版本

• 20230223（V12）或更高版本
• 20230227（V11）或更高版本

漏洞暴露配置

除最新Veeam备份与复制版本外，所有版本默认都受到影响。漏洞暴露需要以下条件：

• 不受支持的部署（V10或更早版本）或未打补丁的V11/V12
• Veeam.Backup.Service.exe监听TCP/9401端口（默认）

技术细节/攻击概述

CVE-2023-27532允许具有网络访问权限的未经身份验证用户获取配置数据库中存储的凭据。目前关于成功利用的信息很少。然而，CODE WHITE GmbH的安全研究员Markus Wulftange已经开发了一个针对Veeam备份与复制软件暴露API的有效概念验证：

上述PoC输出显示了恢复的明文凭据。在传输前，凭据被加密并存储在配置数据库中。然而，在CCredentials序列化过程中，凭据被解密并以明文形式传输给潜在攻击者。

威胁参与者利用后活动

尚未在野外观察到与此CVE相关的活动，但受影响方应预计在未来几周内会有利用尝试。严重性和易滥用性使此漏洞对攻击者极具吸引力。Veeam备份与复制管理的任何凭据都可能以明文形式暴露，如果攻击者获得备份基础设施主机的访问权限，可能允许威胁参与者提升权限、横向移动并进行更有效的勒索尝试。

解决方案

（来自：https://www.veeam.com/kb4424）此漏洞在以下Veeam备份与复制构建号中解决：

• 12（构建12.0.0.1420 P20230223）
• 11a（构建11.0.1.1261 P20230227）

注意事项：

• 此漏洞影响所有最近的Veeam备份与复制版本。
• 如果您使用较早的Veeam备份与复制版本，请先升级到受支持的版本。
• 如果您使用没有远程备份基础设施组件的一体化Veeam设备，作为临时修复措施，可以在备份服务器防火墙中阻止到TCP 9401端口的外部连接，直到安装补丁。
• 补丁必须安装在Veeam备份与复制服务器上。所有使用20230223（V12）和20230227（V11a）或之后日期的ISO镜像安装的Veeam备份与复制版本12和11a的新部署都不易受攻击。

临时解决方法和缓解措施

Kudelski Security建议尽快打补丁。同时，如果您使用没有远程备份基础设施组件的一体化Veeam设备，作为临时修复措施，可以在备份服务器防火墙中阻止到TCP 9401端口的外部连接，直到安装补丁。

检测指导

成功利用CVE-2023-27532针对Veeam备份与复制API功能。为了有效检测与此漏洞相关的可疑活动，API调用的日志记录需要在以下注册表项中设置日志级别为7或更高： HKLM\Software\Veeam\Veeam Backup and Replication （从默认日志级别4提高）

一旦设置了Veeam备份与复制服务的日志级别，VeeamBackup.log包含以下格式的成功利用痕迹： Invoke: scope ‘{0}’, method ‘{1}’ 其中{0}和{1}是尚未披露的值。

一旦有关利用的更多细节发布，可能可以通过网络检测与响应（NDR）或入侵检测系统（IDS）解决方案进行检测。

网络融合中心正在做什么

CFC将继续监控CVE-2023-27532的情况，并在其发展过程中向客户通报；请查看此公告以获取更新。

来源

• https://www.helpnetsecurity.com/2023/03/10/cve-2023-27532/
• https://twitter.com/codewhitesec/status/1633948476353519616
• https://twitter.com/mwulftange/status/1634091601944363010
• https://www.veeam.com/kb4424