CVE-2022-26500

Veeam Backup & Replication

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-12-13

Официальное описание

The Veeam Distribution Service in the Backup & Replication application allows unauthenticated users to access internal API functions. A remote attacker can send input to the internal API which may lead to uploading and executing of malicious code.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2022-26500 — это критическая уязвимость (CVSS 9.8) в сервисе Veeam Distribution Service (порт TCP 9380 по умолчанию). Проблема заключается в отсутствии надлежащей аутентификации при обращении к внутренним функциям API.

Дистанционный неавторизованный злоумышленник может отправить специально сформированные данные на сетевой порт сервиса, что позволяет копировать произвольные файлы и выполнять вредоносный код в контексте учетной записи LocalSystem. Это дает полный контроль над сервером резервного копирования и потенциально над всей инфраструктурой бэкапов.

Как исправить

Основным способом устранения уязвимости является установка обновлений (Patch) или переход на исправленные версии продукта.

  1. Определите текущую версию Veeam Backup & Replication в консоли (Help -> About).
  2. Скачайте и установите соответствующее обновление с официального сайта Veeam:
  3. Для версии 11: установите 11a (build 11.0.1.1261 P20220302) или выше.
  4. Для версии 10: установите 10a (build 10.0.1.4854 P20220304) или выше.
  5. После установки обновления убедитесь, что версия билда изменилась на актуальную.

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски с помощью следующих шагов:

  1. Ограничьте сетевой доступ к серверу Veeam Backup & Replication. Заблокируйте входящие соединения на порт TCP 9380 на внешних сетевых экранах и локальном брандмауэре Windows (Windows Firewall), разрешив доступ только доверенным серверам инфраструктуры Veeam (Distribution Servers).

  2. Команда для блокировки порта 9380 через PowerShell:

New-NetFirewallRule -DisplayName "Block Veeam Distribution Service Port" -Direction Inbound -LocalPort 9380 -Protocol TCP -Action Block
  1. Временно остановите службу Veeam Distribution Service, если она не используется в данный момент (учтите, что это нарушит работу функций развертывания и обновления компонентов):
Stop-Service -Name "VeeamDistributionService"


Set-Service -Name "VeeamDistributionService" -StartupType Disabled
  1. Проверьте систему на наличие подозрительных файлов в директориях временных файлов и запуск процессов от имени LocalSystem, инициированных процессом Veeam.Backup.DistributionService.exe.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей