Veeam：Backup Enterprise Manager 中存在严重的认证绕过漏洞

VBEM 是一款基于 web 的平台，可使管理员通过单一 web 控制台管理 Veeam Backup & Replication 安装。它有助于在组织机构的备份基础设施和大规模部署中控制备份任务并执行恢复操作。值得注意的话死后，VBEM 并非默认启用，且并非所有环境均易受这些攻击影响。Veeam对CVE-2024-29849给出的评分是9.8。

Veeam 公司解释称，“位于Veeam Backup Enterprise Manager 中的漏洞可导致未认证攻击者以任何用户的身份登录其 web 接口。”无法立即更新至 VBEM 12.1.2.172的管理员可通过停用和禁用 VeeamEnterpriseManagerSvc 和 VeeamRESTSvc (Veeam RESTful API) 服务的方式缓解该漏洞。如不在使用状态，则可通过相关指令卸载 Veeam Backup Enterprise Manager 的方式删除该攻击向量。

Veeam 还修复了其它两个高危漏洞，其中一个可导致攻击者通过 NTLM 中继的方式接管账户 (CVE-2024-29850)，另外一个可导致高权限用户窃取 Veeam Backup Enterprise Manager 服务账户的NTLM 哈希 (CVE-2024-29851)，不过前提是未被配置作为默认的本地系统账户进行运行。

遭勒索攻击

2023年3月，Veeam 修复了位于 Backup & Replication 软件中的一个高危漏洞 (CVE-2023-27532)，它可被用于攻陷备份的基础设施主机。该漏洞之后被用于 FIN7 威胁组织发动的攻击中，该组织与多次勒索活动有关，如 Conti、REvil、Maze、Egregor和BlackBasta。

几个月后，古巴勒索组织利用该漏洞攻击美国的关键基础设施和位于拉丁美洲的拉美IT公司。去年11月，该公司发布热修复方案，解决了位于ONE IT 基础设施监控和分析平台中的其它两个严重漏洞（CVSS评分为9.8和9.9）。Veeam 公司的产品用户超过45万名，遍布全球各地，其中74%的客户在全球排名前2000名。