备份、恢复和数据管理解决方案的著名提供商 Veeam Software 发布了一个安全更新，以解决其 Veeam Backup & Replication 软件中的多个漏洞。这些漏洞有可能使经过验证的攻击者执行恶意代码，未经授权访问敏感信息，并破坏连接系统的完整性。

其中最严重的漏洞 CVE-2024-40717 的 CVSS v3.1 得分为 8.8，表示严重程度较高。该漏洞可使攻击者以提升的权限执行任意代码，从而可能导致整个系统被入侵。此更新解决的其他漏洞包括：

• CVE-2024-42451： 允許存取以人類可讀格式儲存的憑證。
• CVE-2024-42452：允許以提升的權限遠端上載檔案至連接的 ESXi 主機。
• CVE-2024-42453: 允許控制和修改連接的虛擬基礎結構主機。
• CVE-2024-42455: 助長不安全的反序列化，可能導致檔案刪除。
• CVE-2024-42456： 授予访问特权方法和控制关键服务的权限。
• CVE-2024-42457：通过远程管理界面暴露已保存的凭证。
• CVE-2024-45204： 利用凭证处理权限不足，可能导致 NTLM 哈希值泄漏。

另一个漏洞 CVE-2024-45207 影响 Microsoft Windows 的 Veeam Agent。当未受信任用户可写的目录被添加到 PATH 环境变量时，利用该漏洞可实现 DLL 注入。虽然默认的 Windows PATH 不包括此类目录，但在错误配置的环境中，风险仍然很大。

Veeam 已在 Veeam Backup & Replication 12.3（构建 12.3.0.310）和 Veeam Agent for Microsoft Windows 6.3（构建 6.3.0.177）中修复了这些漏洞，并敦促所有用户立即升级到该版本。作为临时缓解措施，Veeam 建议从备份服务器上的 “用户和角色 ”设置中删除任何不受信任或不必要的用户。

强烈建议依赖 Veeam Backup & Replication 的组织立即采取行动，保护其关键数据和基础设施。