CVE-2023-27532

Veeam Backup & Replication

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-08-22

Официальное описание

Veeam Backup & Replication Cloud Connect component contains a missing authentication for critical function vulnerability that allows an unauthenticated user operating within the backup infrastructure network perimeter to obtain encrypted credentials stored in the configuration database. This may lead to an attacker gaining access to the backup infrastructure hosts.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-27532 представляет собой критическую уязвимость в компоненте Veeam Backup & Replication (VBR), связанную с отсутствием аутентификации для критически важной функции. Проблема локализована в сервисе Veeam.Backup.Service.exe (по умолчанию порт TCP 9401).

Злоумышленник, имеющий доступ к сетевому периметру инфраструктуры резервного копирования, может отправить специально сформированный запрос к этому сервису. Это позволяет извлечь зашифрованные учетные данные (credentials), хранящиеся в базе данных конфигурации. В дальнейшем эти данные могут быть расшифрованы, что дает атакующему полный доступ к хостам инфраструктуры бэкапов, серверам виртуализации или хранилищам.

Как исправить

Основным способом устранения уязвимости является установка обновлений (Patch) или переход на исправленную версию продукта.

  1. Для Veeam Backup & Replication v12: установите билд 12.0.0.1420 P20230223 или выше.
  2. Для Veeam Backup & Replication v11: установите билд 11.0.1.1261 P20230227 или выше.

Алгоритм действий: - Создайте резервную копию конфигурационной базы данных Veeam. - Скачайте соответствующий патч с официального портала Veeam. - Убедитесь, что в данный момент не запущены задания резервного копирования или восстановления. - Запустите установщик патча на сервере управления Veeam Backup & Replication.

Временные меры

Если немедленная установка патча невозможна, необходимо ограничить эксплуатацию уязвимости на сетевом уровне.

  1. Настройте аппаратный межсетевой экран или Windows Firewall на сервере Veeam, чтобы разрешить входящие соединения на порт TCP 9401 только для доверенных компонентов инфраструктуры Veeam (Mount Servers, Proxy Servers).

Пример команды для блокировки порта 9401 для всех внешних адресов через Windows Firewall (используйте с осторожностью, предварительно разрешив доступ доверенным IP):

New-NetFirewallRule -DisplayName "Block Veeam Unauth Access" -Direction Inbound -LocalPort 9401 -Protocol TCP -Action Block

  1. Изолируйте сеть управления инфраструктурой резервного копирования от общих корпоративных сетей и сегментов пользователей.

  2. После установки патча рекомендуется сменить пароли для всех учетных записей, которые были сохранены в менеджере учетных данных Veeam (Credentials Manager), так как они могли быть скомпрометированы до момента исправления.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей