摘要
6月17日,数据恢复供应商 Veeam 发布安全更新,修复了三个漏洞:一个严重级别的远程代码执行(RCE)漏洞和一个高严重级别的权限提升(ACE)漏洞,均影响 Backup & Replication(VBR)产品;另有一个中等严重级别的本地权限提升漏洞,影响 Windows Veeam 代理。值得注意的是,这三个漏洞的成功利用均需要先进行身份验证。
受影响系统和/或应用程序
| 产品 | 受影响版本 |
|---|---|
| Veeam Backup & Replication | 12, 12.1, 12.2, 12.3, 12.3.1 |
| Veeam Agent for Microsoft Windows | 6.0, 6.1, 6.2, 6.3, 6.3.1 |
Veeam 在公告中指出:“未支持的版本未经测试,但很可能受到影响,应视为易受攻击。”
技术细节/攻击概述
CVE-2025-23121(VBR,严重/9.9 CVSS 评分):
此漏洞是本次更新中修复的最严重漏洞,CVSS 评分为 9.9。该漏洞仅影响加入域的备份服务器(值得注意的是,这与 Veeam 的最佳实践建议相冲突),并允许任何经过身份验证的域用户在 VBR 服务器上远程执行代码。
CVE-2025-24286(VBR,高/7.2 CVSS 评分):
此漏洞仍然非常重要,允许具有备份操作员角色的经过身份验证的用户修改备份作业,从而导致任意代码执行。
CVE-2025-24287(Veeam Agent for Windows,中等/6.1 CVSS 评分):
允许本地系统用户通过修改特定目录内容,以提升的权限执行任意代码。
缓解措施
- 将 VBR 更新到最新版本 12.3.2(内部版本 12.3.2.3617)。
- 如果 VBR 服务器已加入生产 Active Directory 域,请考虑调整部署,确保其不依赖于本应保护的环境。
- 最佳实践文档建议为 Veeam 组件使用单独的管理工作组,或在单独的林中创建管理域。
- 将 Windows 代理更新到最新版本 6.3.2(内部版本 6.3.2.1205)。
网络融合中心的行动
网络融合中心(CFC)将继续监控情况,并在需要时发布公告更新。对威胁狩猎可能性的调查正在进行中。订阅我们漏洞扫描服务的客户,在扫描提供商提供相关插件后,如果扫描范围内发现严重漏洞,将收到相关结果。
Qualys ID:(撰写本文时暂无)
Tenable ID:(撰写本文时暂无)