Veeam Backup & Replication 漏洞允许任意代码执行
MS-ISAC 公告编号:2025-029
发布日期:2025年3月21日
概述
在Veeam Backup & Replication中发现了一个漏洞,可能允许任意代码执行。Veeam Backup & Replication是一个全面的数据保护和灾难恢复解决方案,可用于创建虚拟、物理和云机器的镜像级备份并进行恢复。利用此漏洞需要域身份验证,但可能导致任意代码执行。备份和镜像等数据可能受到威胁。
威胁情报
目前没有这些漏洞在野外被利用的报告。
受影响系统
Veeam Backup & Replication 12.3.0.310及所有早期版本12构建。
风险等级
政府机构:
- 大型和中型政府实体:高
- 小型政府实体:中
企业:
- 大型和中型企业实体:高
- 小型企业实体:中
家庭用户:低
技术详情
在Veeam Backup & Replication中发现了一个漏洞,可能允许任意代码执行。漏洞详情如下:
战术:执行(TA0002)
技术:软件部署工具(T1072)
Veeam Backup & Replication中的一个漏洞可能允许经过身份验证的域用户执行远程代码执行(RCE)。该漏洞影响加入域的备份和复制系统。Veeam明确提到,将备份服务器加入域违反了其安全和合规最佳实践。然而,承认这种配置在实践中可能仍然相对常见。(CVE-2025-23120)
成功利用此漏洞需要域身份验证,但可能导致任意代码执行。备份和镜像等数据可能受到威胁。
修复建议
我们建议采取以下措施:
1. 应用安全更新
立即在适当测试后,为易受攻击的系统应用Veeam或其他使用此软件的供应商提供的适当更新。(M1051:更新软件)
相关保障措施:
- 保障措施7.1:建立和维护企业资产的漏洞管理流程
- 保障措施7.2:建立和维护基于风险的修复流程
- 保障措施7.4:每月或更频繁执行自动化应用程序补丁管理
- 保障措施7.5:每季度或更频繁执行内部企业资产的自动化漏洞扫描
- 保障措施7.7:每月或更频繁修复检测到的漏洞
- 保障措施12.1:确保网络基础设施保持最新
2. 配置Active Directory
配置Active Directory以防止使用某些技术;使用SID过滤等。(缓解措施M1015:Active Directory配置)
相关保障措施:
- 保障措施4.1:建立和维护安全配置流程
- 保障措施18.5:执行定期内部渗透测试
- 保障措施18.3:修复渗透测试发现的问题
3. 用户账户管理
管理用户账户的创建、修改、使用和相关权限。(缓解措施M1018:用户账户管理)
相关保障措施:
- 保障措施6.1:建立访问授予流程
- 保障措施6.2:建立访问撤销流程
- 保障措施6.8:定义和维护基于角色的访问控制
- 保障措施15.7:安全停用服务提供商
4. 网络分段
通过网络架构隔离关键系统、功能或资源。使用物理和逻辑分段防止访问潜在敏感系统和信息。使用DMZ包含不应从内部网络暴露的任何面向互联网的服务。配置单独的虚拟私有云(VPC)实例以隔离关键云系统。(缓解措施M1030:网络分段)
相关保障措施:
- 保障措施3.12:基于敏感性分段数据处理和存储
- 保障措施4.4:在服务器上实施和管理防火墙
- 保障措施12.2:建立和维护安全网络架构
- 保障措施12.8:为所有管理工作建立和维护专用计算资源
- 保障措施16.8:分离生产和非生产系统
5. 多因素认证
使用两个或多个证据对系统进行身份验证;例如用户名和密码以及物理智能卡或令牌生成器的令牌。(缓解措施M1032:多因素认证)
相关保障措施:
- 保障措施6.4:要求远程网络访问使用MFA
- 保障措施6.5:要求所有管理访问账户使用MFA
参考资料
- CVE:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-23120
- Rapid7:https://www.rapid7.com/blog/post/2025/03/19/etr-critical-veeam-backup-and-replication-cve-2025-23120/
- Veeam:https://www.veeam.com/kb4724