CVE-2021-27878

Veritas Backup Exec Agent

ВЕРОЯТНОСТЬ 1.3%
Дата обнаружения

2023-04-07

Официальное описание

Veritas Backup Exec (BE) Agent contains a command execution vulnerability that could allow an attacker to use a data management protocol command to execute a command on the BE Agent machine.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2021-27878 представляет собой критическую уязвимость в агенте Veritas Backup Exec (Remote Agent for Windows), связанную с некорректной обработкой команд протокола NDMP (Network Data Management Protocol). Злоумышленник может отправить специально сформированный пакет на порт 10000 (по умолчанию), что позволяет выполнить произвольные команды в системе с правами LocalSystem. Уязвимость не требует аутентификации, что делает её крайне опасной для инфраструктуры резервного копирования.

Как исправить

Основным способом устранения является установка официальных обновлений безопасности от производителя. Необходимо обновить как сервер администрирования Backup Exec, так и все удаленные агенты (Remote Agents) на целевых серверах.

  1. Запустите консоль Backup Exec и перейдите в раздел обновлений (LiveUpdate), чтобы загрузить актуальные патчи.
  2. Установите соответствующие Service Pack или Hotfix в зависимости от вашей версии:
  3. Для Backup Exec 21.x: установите Hotfix 434981 или обновитесь до версии 21.2.
  4. Для Backup Exec 20.x: установите Hotfix 147610.
  5. Для Backup Exec 16.x: установите Hotfix 199041.
  6. После обновления сервера необходимо принудительно обновить агенты на всех защищаемых серверах через консоль управления:
  7. Вкладка «Backup and Restore».
  8. Выберите серверы со статусом «Update available».
  9. Нажмите правой кнопкой мыши и выберите «Install/Update».

Проверить версию файла beremote.exe (должна быть обновлена) можно с помощью команды:

(Get-Item "C:\Program Files\Veritas\Backup Exec\RAWS\beremote.exe").VersionInfo.FileVersion

Временные меры

Если немедленное обновление невозможно, необходимо ограничить векторы атаки следующими способами:

  1. Настройка сетевого экрана (Firewall): Ограничьте доступ к TCP-порту 10000 только доверенными IP-адресами серверов резервного копирования.
New-NetFirewallRule -DisplayName "Restrict BE Agent NDMP" -Direction Inbound -Action Block -LocalPort 10000 -Protocol TCP

(Примечание: После выполнения команды выше необходимо создать разрешающее правило только для IP сервера Backup Exec).

  1. Использование шифрованного соединения: В настройках Backup Exec включите требование использования TLS для связи с агентами (Network and Security -> Enable SSL/TLS).

  2. Остановка службы агента (если резервное копирование временно не требуется):

Stop-Service -Name "BackupExecAgentAccelerator" -Force
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей