CVE-2024-40711

Veeam Backup & Replication

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-10-17

Официальное описание

Veeam Backup and Replication contains a deserialization vulnerability allowing an unauthenticated user to perform remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-40711 представляет собой критическую уязвимость (CVSS 9.8), связанную с небезопасной десериализацией данных в компонентах Veeam Backup & Replication (VBR). Уязвимость позволяет неавторизованному злоумышленнику отправить специально сформированный сетевой запрос на порт службы Veeam (по умолчанию TCP 9392), что приводит к удаленному выполнению произвольного кода (RCE) с правами системы (LocalSystem). Эксплуатация возможна без наличия учетных данных, что делает её крайне опасной для инфраструктуры резервного копирования.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление программного обеспечения до защищенных версий.

  1. Определите текущую версию Veeam Backup & Replication через консоль (Help -> About).
  2. Скачайте соответствующий патч или полный дистрибутив с официального портала Veeam.
  3. Установите обновление для вашей ветки:
  4. Если вы используете V12.1: обновитесь до версии 12.2 (build 12.2.0.334) или выше.
  5. Если вы используете V12: обновитесь до версии 12.1.2.172 (V12.1 Cumulative Patch 20240603) или выше.

После установки обновления убедитесь, что все компоненты (Managed Servers, Proxies, Repositories) также обновлены через консоль управления.

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать поверхность атаки следующими методами:

  1. Ограничьте сетевой доступ к серверу управления Veeam (VBR Server). Разрешите входящие соединения на порты 9392, 9401 и другие порты управления только с доверенных IP-адресов администраторов.
New-NetFirewallRule -DisplayName "Restrict Veeam Management" -Direction Inbound -LocalPort 9392, 9401 -Protocol TCP -Action Block

  1. Изолируйте инфраструктуру резервного копирования в отдельный VLAN, не имеющий прямого доступа из общих корпоративных сетей и интернета.

  2. Настройте многофакторную аутентификацию (MFA) для доступа к консоли Veeam (доступно в V12), чтобы предотвратить дальнейшее продвижение злоумышленника в случае компрометации других систем.

  3. Включите расширенный аудит и мониторинг создания подозрительных дочерних процессов службой Veeam.Backup.Service.exe.

Get-EventLog -LogName System -Source "Service Control Manager" | Where-Object {$_.Message -like "*Veeam*"}
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей