CVE-2021-27877

Veritas Backup Exec Agent

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-04-07

Официальное описание

Veritas Backup Exec (BE) Agent contains an improper authentication vulnerability that could allow an attacker unauthorized access to the BE Agent via SHA authentication scheme.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2021-27877 представляет собой критическую уязвимость в Veritas Backup Exec Agent, связанную с некорректной проверкой подлинности (Improper Authentication). Проблема кроется в реализации схемы аутентификации SHA. Злоумышленник, имеющий сетевой доступ к агенту (обычно порт TCP 10000), может обойти механизмы безопасности и получить несанкционированный удаленный доступ к системе с правами агента. Это позволяет выполнять произвольные команды, просматривать или удалять данные на целевом сервере без наличия валидных учетных данных.

Как исправить

Основным способом устранения уязвимости является обновление Veritas Backup Exec до актуальной версии, в которой данная ошибка исправлена.

  1. Определите текущую версию установленного ПО. Уязвимость затрагивает версии Backup Exec 21.x, 20.x и 16.x.
  2. Скачайте и установите соответствующие патчи или новые версии через консоль управления Veritas или портал поддержки:
  3. Для Backup Exec 21: установите Backup Exec 21.2 или выше.
  4. Для Backup Exec 20: установите Backup Exec 20.x Hotfix 437663.
  5. Для Backup Exec 16: установите Backup Exec 16.x Hotfix 225296.
  6. После обновления сервера Backup Exec обязательно обновите Remote Agent for Windows (RAWS) на всех защищаемых целевых серверах.

Для принудительного обновления агентов через PowerShell (на сервере управления):

Get-WmiObject -Class Win32_Product | Where-Object {$_.Name -like "*Veritas Backup Exec Remote Agent*"}

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски с помощью следующих шагов:

  1. Ограничьте доступ к порту NDMP (по умолчанию TCP 10000) на сетевом уровне. Разрешите подключения только с доверенных IP-адресов серверов резервного копирования.
New-NetFirewallRule -DisplayName "Block BE Agent Port" -Direction Inbound -LocalPort 10000 -Protocol TCP -Action Block

(Примечание: после выполнения команды выше необходимо создать разрешающее правило только для IP сервера бэкапа с более высоким приоритетом).

  1. Включите шифрование TLS для связи между сервером и агентами в настройках Backup Exec, что деактивирует использование уязвимых устаревших схем аутентификации.

  2. Используйте списки контроля доступа (IP Access Control) внутри настроек самого агента Veritas, чтобы ограничить список разрешенных инициаторов соединений.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей