Lỗ hổng nghiêm trọng trong Veeam Backup cho phép thực thi mã từ xa

Thứ năm - 06/02/2025 16:21 101 0

Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC), Cục An toàn thông tin cảnh báo lỗ hổng nghiêm trọng trong Veeam Backup cho phép thực thi mã từ xa nhằm cung cấp thêm thông tin cần thiết để quản trị viên cũng như người dùng có thể thực hiện các biện pháp bảo mật một cách kịp thời và hiệu quả.

Mô tả

Ngày 04/02/2025, các nhà nghiên cứu bảo mật đã phát hiện một lỗ hổng nghiêm trọng CVE-2025-23114 trong Veeam Updater, một thành phần cốt lõi của nhiều sản phẩm Veeam Backup & Replication. Lỗ hổng này có điểm CVSS 9.0, cho phép kẻ tấn công thực hiện tấn công Man-in-the-Middle (MitM) để chèn mã độc vào quá trình cập nhật, từ đó thực thi mã từ xa (RCE) với quyền root trên các hệ thống bị ảnh hưởng.

Veeam Updater là thành phần quản lý cập nhật trong nhiều sản phẩm sao lưu của Veeam. Lỗ hổng này xuất phát từ việc thiếu xác thực toàn vẹn của gói cập nhật, cho phép kẻ tấn công trên cùng một mạng (hoặc thông qua các kỹ thuật DNS spoofing, BGP hijacking) chèn mã độc vào quá trình cập nhật phần mềm, dẫn đến việc thực thi mã độc trên hệ thống với quyền root.

Cách thức khai thác

Kẻ tấn công thực hiện Man-in-the-Middle (MitM), chặn kết nối giữa hệ thống Veeam và máy chủ cập nhật chính thức.
Khi Veeam Updater kiểm tra và tải xuống bản cập nhật, kẻ tấn công thay thế gói cập nhật hợp lệ bằng một tập tin chứa mã độc.
Veeam Updater thực thi tập tin cập nhật mà không xác minh đầy đủ tính hợp lệ, dẫn đến thực thi mã từ xa (RCE) với quyền root.

Tác động

*) Các phiên bản bị ảnh hưởng

Veeam Backup for Salesforce: 3.1 trở xuống
Veeam Backup for Nutanix AHV: 5.0, 5.1
Veeam Backup for AWS: 6a, 7
Veeam Backup for Microsoft Azure: 5a, 6
Veeam Backup for Google Cloud: 4, 5
Veeam Backup for Oracle Linux Virtualization Manager & Red Hat Virtualization: 3, 4.0, 4.1

*) Nguy cơ đối với hệ thống

Chiếm quyền root hoàn toàn trên hệ thống Veeam Backup.
Cài đặt ransomware, mã độc hoặc cửa hậu (backdoor) để duy trì quyền truy cập.
Xóa, thay đổi hoặc đánh cắp dữ liệu sao lưu, làm gián đoạn quy trình khôi phục dữ liệu.

Khuyến nghị

Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của đơn vị, góp phần đảm bảo an toàn cho không gian mạng Việt Nam, Trung tâm VNCERT/CC khuyến nghị người dùng nên cập nhật ngay lập tức.

Veeam đã phát hành bản vá cho các phiên bản bị ảnh hưởng. Người dùng nên cập nhật Veeam Updater ngay lập tức.

*) Hướng dẫn cập nhật

Truy cập giao diện quản lý Veeam Backup → Kiểm tra phiên bản Updater hiện tại trong Update History.
Nếu phiên bản thấp hơn bản vá, tiến hành cập nhật ngay bằng Veeam Updater.
Đảm bảo mọi kết nối cập nhật sử dụng TLS 1.2+ để giảm thiểu nguy cơ bị tấn công MitM.

Tác giả: VNCERT/CC

Nguồn tin: vncert.vn

Tags: an toàn thông tin, không gian mạng, lỗ hổng