【 資安警訊 】- Veeam 修補備份軟體重大漏洞,可導致在備份伺服器遠端執行程式碼
發布編號:OIS-CTI-2025-06-004
情資來源:iThome
事件類型:漏洞警訊公告
內容說明:
備份軟體供應商 Veeam 於 6 月中旬發布旗下備份軟體產品重大漏洞,並釋出修補。
圖片來源:iThome
備份與資料保護軟體廠商 Veeam,於 6 月 17 日揭露影響備份軟體與其代理程式的 3 項漏洞,並釋出修補。
這 3 個漏洞中,最嚴重的是編號為 CVE-2025-23121 的漏洞,為 CVSS 嚴重性等級評分 9.9 的重大漏洞,由 watchTowr 與 CodeWhite 安全研究人員發現與通報,存在於 Veeam Backup & Recovery 備份軟體 12.3.1.1139 以前的版本,通過身分驗證的網域使用者,可透過這個漏洞從遠端存取備份伺服器,並且在上面任意執行各種程式碼。
事實上,Veeam 先前在今年 3 月,才剛修補 Veeam Backup & Recovery 另一個相似的遠端執行程式碼漏洞 CVE-2025-23120,CVSS 嚴重性評分同樣是 9.9,當時 Veeam 曾發布 12.3.1版(build 12.3.1.1139)備份軟體來修補這個漏洞,但時隔 3 個月後,這個修補版本也被發現存在遠端執行程式碼漏洞,解決方法是將備份軟體更新到 12.3.2版(build 12.3.2.3617)。
至於這次修補的另 2 個漏洞 CVE-2025-24286 與 CVE-2025-24287,CVSS 嚴重性等級評分為 7.2與 6.1,前者會影響 12.3.1.1139 版以前的 Veeam 備份軟體,被授予備份操作者角色、且通過身分認證的用戶,本身原本就有足夠權限而得以修改備份工作,但因為有這個漏洞的關係,竟能在Veeam 系統任意執行程式碼,解決方法同樣是將備份軟體更新到 12.3.2 版;後者會影響6.3.1.1074 版以前所有 6.x 版 Windows 代理程式(Veeam Agent for Microsoft Windows),由於本機使用者的角色雖然有權限能修改電腦的資料夾內容,但因為這個漏洞的緣故,而得以不當提升權限,進而能夠執行任意程式碼,,解決方法是將 Veeam 代理程式升級到 6.3.2版(build 6.3.2.1205)。
影響平台:
Veeam Backup & Recovery 備份軟體
建議措施:
建議升級 Veeam Backup & Replication 12.3.2 版(內部版本 12.3.2.3617)來解決
建議升級 Veeam 代理程式升級到 6.3.2 版(build 6.3.2.1205) 來解決
參考連結 :