Veeam Backup Enterprise Manager身份验证绕过漏洞(CVE-2024-29849)

2024-06-14 1736阅读

一、漏洞概述【漏洞通告】

漏洞名称

Veeam Backup Enterprise Manager身份验证绕过漏洞(CVE-2024-29849)
(图片来源网络,侵删)

 Veeam Backup Enterprise Manager身份验证绕过漏洞

CVE   ID

CVE-2024-29849

漏洞类型

身份验证绕过

发现时间

2024-05-22

漏洞评分

9.8

漏洞等级

严重

攻击向量

网络

所需权限

利用难度

用户交互

PoC/EXP

已公开

在野利用

未发现

Veeam Backup Enterprise Manager(VBEM)是一款用于通过单个Web UI管理多个Veeam Backup & Replication服务器的解决方案,它有助于控制备份作业,并在组织的备份基础架构和大规模部署中执行恢复操作。

2024年6月11日,启明星辰集团VSRC监测到 Veeam Backup Enterprise Manager身份验证绕过漏洞(CVE-2024-29849)的技术细节及PoC在互联网上公开,该漏洞的CVSS评分为9.8。

Veeam Backup Enterprise Manager 12.1.2.172之前版本中存在身份验证绕过漏洞,该漏洞存在于Veeam.Backup.Enterprise.RestAPIService.exe服务中,未经身份验证的远程威胁者可利用该漏洞以任何用户身份登录 Veeam Backup Enterprise Manager Web 界面,导致未授权访问。

二、影响范围

Veeam Backup Enterprise Manager

三、安全措施

3.1 升级版本

目前该漏洞已经修复,受影响用户可升级到Veeam Backup Enterprise Manager 12.1.2.172或更高版本。

下载链接:

https://www.veeam.com/kb4581

3.2 临时措施

对于无法立即将 Veeam Backup Enterprise Manager 升级到 12.1.2.172 的客户,可执行以下缓解措施:

1.通过停止 Veeam Backup Enterprise Manager 软件来缓解该漏洞,可停止并禁用以下服务(禁用服务不会阻止安装 12.1.2 更新,但更新后需要将服务重置回自动启动):

  • VeeamEnterpriseManagerSvc (Veeam Backup Enterprise Manager)

  • VeeamRESTSvc (Veeam RESTful API Service)  // 注:在同时安装了 VBEM 和 VBR 的服务器上,将有两个名称相似的服务。名为“Veeam Backup Server RESTful API Service”的服务属于 Veeam Backup & Replication 软件,无需禁用该服务。

    可以使用以下 PowerShell 命令实现此目的:

    Set-Service -StartupType Disabled VeeamEnterpriseManagerSvc

    Set-Service -StartupType Disabled VeeamRESTSvc

    Stop-Service VeeamEnterpriseManagerSvc

    Stop-Service VeeamRESTSvc

    2.如果 Veeam Backup Enterprise Manager安装在专用服务器上,Veeam Backup Enterprise Manager 可以升级到版本 12.1.2.172,而无需立即升级 Veeam Backup & Replication。Veeam Backup Enterprise Manager兼容管理运行 Veeam Backup Enterprise Manager 旧版本的 Veeam Backup & Replication 服务器。

    3. 如果不使用Veeam Backup Enterprise Manager,可将其卸载。

    3.3 通用建议

    定期更新系统补丁,减少系统漏洞,提升服务器的安全性。

    加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。

    使用企业级安全产品,提升企业的网络安全性能。

    加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。

    启用强密码策略并设置为定期修改。

    3.4 参考链接

    https://www.veeam.com/kb4581

    https://summoning.team/blog/veeam-enterprise-manager-cve-2024-29849-auth-bypass/

VPS购买请点击我

免责声明:我们致力于保护作者版权,注重分享,被刊用文章因无法核实真实出处,未能及时与作者取得联系,或有版权异议的,请联系管理员,我们会立即处理! 部分文章是来自自研大数据AI进行生成,内容摘自(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供学习参考,不准确地方联系删除处理! 图片声明:本站部分配图来自人工智能系统AI生成,觅知网授权图片,PxHere摄影无版权图库和百度,360,搜狗等多加搜索引擎自动关键词搜索配图,如有侵权的图片,请第一时间联系我们,邮箱:ciyunidc@ciyunshuju.com。本站只作为美观性配图使用,无任何非法侵犯第三方意图,一切解释权归图片著作权方,本站不承担任何责任。如有恶意碰瓷者,必当奉陪到底严惩不贷!

相关阅读

目录[+]