CVE-2022-26501

Veeam Backup & Replication

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-12-13

Официальное описание

The Veeam Distribution Service in the Backup & Replication application allows unauthenticated users to access internal API functions. A remote attacker can send input to the internal API which may lead to uploading and executing of malicious code.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2022-26501 — это критическая уязвимость в сервисе Veeam Distribution Service (порт TCP 9380 по умолчанию), используемом в составе Veeam Backup & Replication. Проблема заключается в отсутствии надлежащей аутентификации при обращении к внутренним функциям API.

Удаленный неавторизованный злоумышленник может отправить специально сформированные данные на этот API, что позволяет манипулировать файловой системой, загружать произвольные файлы и выполнять вредоносный код с правами учетной записи LocalSystem. Это приводит к полному захвату сервера резервного копирования и потенциальному доступу к защищаемой инфраструктуре.

Как исправить

Основным способом устранения уязвимости является установка обновлений (Patch) или переход на исправленную версию продукта.

  1. Определите текущую версию Veeam Backup & Replication через консоль (Help -> About).
  2. Скачайте соответствующий патч с официального сайта Veeam.
  3. Установите обновление на сервер управления (Backup Server) и все подключенные компоненты.

Исправленные версии: - Для версии 11: установите 11a (build 11.0.1.1261 P20220302) или выше. - Для версии 10: установите 10a (build 10.0.1.4854 P20220304) или выше.

После установки патча убедитесь, что версия билда обновилась.

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски с помощью следующих шагов:

  1. Ограничьте сетевой доступ к порту TCP 9380. Разрешите подключения к этому порту только для доверенных IP-адресов компонентов инфраструктуры Veeam (Distribution Servers, Repository, Proxies).
New-NetFirewallRule -DisplayName "Restrict Veeam Distribution Service" -Direction Inbound -LocalPort 9380 -Protocol TCP -Action Block
  1. Если на сервере не используются функции удаленного распространения (Distribution Service), временно остановите и отключите службу VeeamDistributionService.
Stop-Service -Name "VeeamDistributionService"
Set-Service -Name "VeeamDistributionService" -StartupType Disabled
  1. Настройте мониторинг создания подозрительных дочерних процессов службой VeeamDistributionService.exe (например, запуск cmd.exe, powershell.exe или запись исполняемых файлов в системные директории).
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей