Rủi Ro CVE-2025-23120: Đánh giá lỗ hổng cực kỳ nghiêm trọng trong Veeam Backup & Replication

22/03/2025
2 mins read

Tổng quan về lỗ hổng

  • CVE-2025-23120: Lỗ hổng này cho phép thực thi mã từ xa (RCE) bởi những người dùng đã xác thực trong miền, tạo ra nguy cơ lớn cho người sử dụng Veeam Backup & Replication.
  • Mức độ nghiêm trọng: Lỗ hổng này có điểm số CVSS v3.1 là 9.9, cho thấy mức độ rủi ro cao.
  • Các phiên bản bị ảnh hưởng: Lỗ hổng ảnh hưởng đến các phiên bản Veeam Backup & Replication 12, 12.1, 12.2, và 12.3.

Chi tiết về khai thác

  • Cơ chế phân giải dữ liệu: Lỗ hổng khai thác những yếu điểm trong cơ chế phân giải dữ liệu, cụ thể là sử dụng các gadget phân giải trong mã nguồn Veeam. Lớp Veeam.Backup.EsxManager.xmlFrameworkDs được nêu bật như một gadget mạnh mẽ để đạt được RCE.
  • Các quyền yêu cầu: Để khai thác những lỗ hổng này, người dùng cần truy cập vào kênh .NET Remoting của Veeam, không yêu cầu quyền quản trị. Bất kỳ người dùng nào thuộc nhóm Người dùng địa phương trên máy chủ Windows đều có thể khai thác những lỗ hổng này. Thêm vào đó, người dùng miền có thể khai thác những lỗi này nếu cấu hình miền cho phép nhóm Người dùng miền được thêm vào nhóm Người dùng địa phương.

Biện pháp giảm thiểu

  • Đề nghị cập nhật: Người dùng được khuyên nên nâng cấp lên phiên bản Veeam Backup & Replication 12.3.1 (build 12.3.1.1139) để giảm thiểu rủi ro này.
  • Các biện pháp tốt nhất: Các tổ chức nên đảm bảo hệ thống của họ không được cấu hình trái ngược với các thực hành an toàn nhất, chẳng hạn như cách ly các máy chủ sao lưu khỏi mạng miền để giảm thiểu rủi ro tiềm ẩn.

Ngữ cảnh bổ sung

  • Sự tham gia của cộng đồng: Lỗ hổng này được báo cáo bởi Piotr Bazydlo của watchTowr, nhấn mạnh tầm quan trọng của sự tham gia của cộng đồng trong việc xác định và giải quyết các sự cố an ninh.
  • Các biện pháp bảo mật: Veeam nhấn mạnh cam kết của họ đối với an ninh khách hàng thông qua các biện pháp chủ động như Chương trình Tiết lộ Lỗ hổng (VDP) và các cuộc kiểm toán mã nội bộ nghiêm ngặt.

Khuyến nghị thực tiễn

  1. Áp dụng bản vá: Các tổ chức nên kịp thời áp dụng các bản vá bảo mật mới nhất cho Veeam Backup & Replication.
  2. Theo dõi hệ thống: Thường xuyên theo dõi các hoạt động bất ngờ có thể chỉ ra các cuộc tấn công tiềm ẩn.
  3. Cách ly các máy chủ sao lưu: Cân nhắc cách ly các máy chủ sao lưu khỏi mạng miền để giảm rủi ro khai thác.

Bằng cách tuân thủ các khuyến nghị này và áp dụng các bản cập nhật mới nhất, các tổ chức có thể giảm đáng kể rủi ro liên quan đến lỗ hổng nghiêm trọng này.

Tags