Veeam备份与复制漏洞可导致任意代码执行

MS-ISAC咨询编号：2025-029
发布日期：2025年3月21日

概述

Veeam Backup & Replication中发现了一个可能允许任意代码执行的漏洞。Veeam Backup & Replication是一个全面的数据保护和灾难恢复解决方案，能够创建虚拟、物理和云机器的镜像级备份并进行恢复。利用此漏洞需要域认证，但可能导致任意代码执行。备份和镜像等数据可能遭到破坏。

威胁情报

目前尚无这些漏洞在野外被利用的报告。

受影响系统

Veeam Backup & Replication 12.3.0.310及所有早期版本12构建。

风险等级

政府机构：

• 大中型政府实体：高
• 小型政府实体：中

企业：

• 大中型企业实体：高
• 小型企业实体：中

家庭用户：低

技术摘要

Veeam Backup & Replication中发现了一个可能允许任意代码执行的漏洞。漏洞详情如下：

战术：执行（TA0002）
技术：软件部署工具（T1072）

Veeam Backup & Replication中的一个漏洞可能允许经过认证的域用户执行远程代码（RCE）。该漏洞影响加入域的备份与复制系统。Veeam明确表示，将备份服务器加入域违反其安全性和合规性最佳实践。然而，承认这种配置在实践中可能仍然相对常见。（CVE-2025-23120）

成功利用此漏洞需要域认证，但可能导致任意代码执行。备份和镜像等数据可能遭到破坏。

建议措施

我们建议采取以下行动：

1. 应用适当更新
   在适当测试后立即为易受攻击的系统应用Veeam或其他使用此软件的供应商提供的适当更新。（M1051：更新软件）

   • 保障措施7.1：建立和维护漏洞管理流程
     为企业资产建立和维护文档化的漏洞管理流程。每年或在发生可能影响此保障措施的重大企业变更时审查和更新文档。

   • 保障措施7.2：建立和维护修复流程
     建立和维护基于风险的修复策略，记录在修复流程中，每月或更频繁地进行审查。

   • 保障措施7.4：执行自动化应用程序补丁管理
     通过每月或更频繁的自动化补丁管理对企业资产执行应用程序更新。

   • 保障措施7.5：执行内部企业资产的自动化漏洞扫描
     每季度或更频繁地执行内部企业资产的自动化漏洞扫描。使用符合SCAP的漏洞扫描工具进行认证和非认证扫描。

   • 保障措施7.7：修复检测到的漏洞
     根据修复流程，每月或更频繁地通过流程和工具修复软件中检测到的漏洞。

   • 保障措施12.1：确保网络基础设施保持最新
     确保网络基础设施保持最新。示例实现包括运行最新的稳定软件版本和/或使用当前支持的网络即服务（NaaS）产品。每月或更频繁地审查软件版本以验证软件支持。

2. 配置Active Directory
   配置Active Directory以防止使用某些技术；使用SID过滤等。（缓解措施M1015：Active Directory配置）

   • 保障措施4.1：建立和维护安全配置流程
     为企业资产（最终用户设备，包括便携式和移动设备、非计算/IoT设备和服务器）和软件（操作系统和应用程序）建立和维护安全配置流程。每年或在发生可能影响此保障措施的重大企业变更时审查和更新文档。

3. 管理用户账户
   管理与用户账户相关的创建、修改、使用和权限。（缓解措施M1018：用户账户管理）

   • 保障措施6.1：建立访问授予流程
     建立并遵循一个流程（最好是自动化的），在新员工入职、权限授予或用户角色变更时授予对企业资产的访问权限。

   • 保障措施6.2：建立访问撤销流程
     建立并遵循一个流程（最好是自动化的），在用户离职、权限撤销或角色变更时立即通过禁用账户来撤销对企业资产的访问权限。禁用账户而不是删除账户可能有助于保留审计跟踪。

   • 保障措施6.8：定义和维护基于角色的访问控制
     通过确定和记录企业内每个角色成功执行其分配职责所需的访问权限来定义和维护基于角色的访问控制。定期（至少每年或更频繁）对企业资产进行访问控制审查，以验证所有权限是否经过授权。

   • 保障措施15.7：安全地停用服务提供商
     安全地停用服务提供商。示例考虑包括用户和服务账户停用、数据流终止以及服务提供商系统内企业数据的安全处置。

4. 网络分段
   设计网络部分以隔离关键系统、功能或资源。使用物理和逻辑分段以防止访问可能敏感的系统信息。使用DMZ来容纳任何不应从内部网络暴露的面向互联网的服务。配置单独的虚拟私有云（VPC）实例以隔离关键云系统。（缓解措施M1030：网络分段）

   • 保障措施3.12：根据敏感性分段数据处理和存储
     根据数据的敏感性分段数据处理和存储。不要在用于较低敏感性数据的企业资产上处理敏感数据。

   • 保障措施4.4：在服务器上实施和管理防火墙
     在支持的服务器上实施和管理防火墙。示例实现包括虚拟防火墙、操作系统防火墙或第三方防火墙代理。

   • 保障措施12.2：建立和维护安全网络架构
     建立和维护安全网络架构。安全网络架构必须至少解决分段、最小权限和可用性。

   • 保障措施12.8：为所有管理工作建立和维护专用计算资源
     为所有管理任务或需要管理访问权限的任务建立和维护专用计算资源（物理或逻辑分离）。计算资源应与企业主网络分段，并且不允许访问互联网。

   • 保障措施16.8：分离生产和非生产系统
     为生产和非生产系统维护单独的环境。

5. 多因素认证（MFA）
   使用两个或更多证据对系统进行认证；例如用户名和密码以及物理智能卡或令牌生成器的令牌。（缓解措施M1032：多因素认证）

   • 保障措施6.4：要求远程网络访问使用MFA
     要求远程网络访问使用MFA。

   • 保障措施6.5：要求管理访问使用MFA
     要求所有管理访问账户（在支持的情况下）在所有企业资产上使用MFA，无论是由现场管理还是通过第三方提供商管理。

6. 渗透测试

   • 保障措施18.1：建立和维护渗透测试计划
     建立和维护适合企业规模、复杂性和成熟度的渗透测试计划。渗透测试计划特征包括范围（如网络、Web应用程序、API、托管服务和物理场所控制）、频率、限制（如可接受的时间和排除的攻击类型）、联系点信息、修复（如如何内部路由发现）和回顾要求。

   • 保障措施18.2：执行定期外部渗透测试
     根据计划要求执行定期外部渗透测试，不少于每年一次。外部渗透测试必须包括企业和环境侦察以检测可利用信息。渗透测试需要专业技能和经验，必须通过合格方进行。测试可以是白盒或黑盒。

   • 保障措施18.3：修复渗透测试发现
     根据企业的修复范围和优先级策略修复渗透测试发现。

   • 保障措施18.5：执行定期内部渗透测试
     根据计划要求执行定期内部渗透测试，不少于每年一次。测试可以是白盒或黑盒。

   • 保障措施18.3：修复渗透测试发现
     根据企业的修复范围和优先级策略修复渗透测试发现。

参考链接

• CVE：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-23120
• Rapid7：https://www.rapid7.com/blog/post/2025/03/19/etr-critical-veeam-backup-and-replication-cve-2025-23120/
• Veeam：https://www.veeam.com/kb4724