CVE-2021-27876

Veritas Backup Exec Agent

ВЕРОЯТНОСТЬ 1.0%
Дата обнаружения

2023-04-07

Официальное описание

Veritas Backup Exec (BE) Agent contains a file access vulnerability that could allow an attacker to specially craft input parameters on a data management protocol command to access files on the BE Agent machine.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2021-27876 представляет собой критическую уязвимость в Veritas Backup Exec Agent, связанную с недостаточной проверкой входных параметров в протоколе управления данными (NDMP). Злоумышленник может отправить специально сформированные команды, которые позволяют обойти ограничения файловой системы и получить несанкционированный доступ к произвольным файлам на целевой машине. Уязвимость может привести к утечке конфиденциальных данных, учетных записей или системных файлов, что в дальнейшем позволяет развить атаку до полного компрометирования сервера.

Как исправить

Основным способом устранения уязвимости является установка официальных обновлений безопасности от производителя. Необходимо обновить Veritas Backup Exec до актуальной версии или применить соответствующие патчи (Hotfix).

  1. Определите текущую версию Veritas Backup Exec.
  2. Скачайте и установите исправления в зависимости от вашей версии:
  3. Для Backup Exec 21.2: установите Hotfix 635743.
  4. Для Backup Exec 20.6: установите Hotfix 143538.

  5. Для Backup Exec 16.x: рекомендуется обновление до версии 21.2 с последующей установкой патча.

  6. После установки обновлений на сервере администрирования необходимо обновить агент (Remote Agent) на всех защищаемых серверах Windows и Linux.

Для принудительного обновления агентов через консоль Backup Exec:

Update-BEAgent

Временные меры

Если немедленная установка патчей невозможна, необходимо минимизировать риски с помощью следующих шагов:

  1. Ограничьте сетевой доступ к портам NDMP (по умолчанию TCP 10000) только для доверенных IP-адресов (сервера управления Backup Exec).
New-NetFirewallRule -DisplayName "Restrict NDMP" -Direction Inbound -Action Block -RemoteAddress Any -LocalPort 10000 -Protocol TCP
New-NetFirewallRule -DisplayName "Allow NDMP from Media Server" -Direction Inbound -Action Allow -RemoteAddress <IP_Media_Server> -LocalPort 10000 -Protocol TCP

  1. Включите шифрование и аутентификацию на уровне протокола NDMP в настройках Backup Exec.

  2. Настройте мониторинг системных журналов на предмет подозрительной активности процесса beremote.exe.

  3. В случае использования Linux-агентов, временно остановите службу, если резервное копирование не требуется в данный момент:

systemctl stop VRTSralus.service
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей