Veeam 修复Backup & Replication 中的严重RCE漏洞

本周，Veeam 宣布修复了 Backup &Replication 产品中的一个严重漏洞，可导致攻击者远程执行任意代码。

该漏洞的编号是CVE-2025-23120（CVSS评分9.8），可导致“认证域用户远程执行代码”，Backup & Replication 12.3.0.310及之前版本 12 builds受影响。该公司建议升级到修复该漏洞的版本12.3.1 (build 12.3.1.1139)。

报送该漏洞的网络安全公司 watchTowr提到，该漏洞的根因在于 Veeam 反序列化机制中的一个更广泛的问题，而Veeam 未能正确修复。该公司提到，Veeam Backup & Replication 通过实现一个允许列表，虽然遵循控制可被反序列化的类的行业标准，但未能执行正确的反序列化程序，因为其中的一个被允许类导致内部反序列化，而它执行的是拦截列表。

Veeam 对此前已报送反序列化漏洞的补丁涉及将条目添加到拦截列表，而且基于该配置以及 Backup & Replication 的大型代码库，新的可用于实现代码执行的反序列化工具仍可被找到。

研究人员提到，CVE-2025-23120可能与2024年9月披露的一个严重RCE漏洞CVE-2024-40711之间存在关联。后者在不到一个月的时间后被用于勒索攻击中。它也可能与CVE-2024-42455之间存在关联，后者是一个高危漏洞，可导致“在备份服务器上‘用户和角色’设置中拥有分配角色的认证用户，连接到远程服务并通过发送一个序列化的临时文件收集利用不安全的反序列化，从而可通过服务账户权限删除系统上的任何文件。”

研究人员提到，重点是攻击者可通过搜索产品库中未被列入拦截清单且可能造成恶意影响的反序列化工具，来识别 Backup & Replication 中的类似问题。watchTowr 公司就找到了两个此类问题（被合称为 CVE-2025-23120），其中一个可通过修改CVE-2024-40711的PoC代码遭利用。

watchTowr 公司还提醒称，虽然利用该新漏洞要求攻击者是登录状态，但“认证要求十分低”。