شرکت Veeam بهتازگی برای یک آسیبپذیری بحرانی در نرمافزار Backup & Replication بهروزرسانیهای امنیتی را منتشر کرده است که میتواند منجر به اجرای کد از راه دور (RCE) شود.
جزئیات آسیبپذیری در Veeam:
- کد شناسایی: CVE-2025-23120
- امتیاز CVSS: 9.9 از 10
- نسخههای تحت تأثیر: نسخه 12.3.0.310 و تمامی نسخههای پیش از 12
طبق اطلاعیهی Veeam، این آسیبپذیری به کاربران احراز هویتشده در دامنه اجازهی اجرای کد از راه دور را میدهد.
اکسپلویت و اصلاح آسیبپذیری Veeam
بر اساس تحقیقات Bazydlo و محقق امنیتی Sina Kheirkhah، آسیبپذیری CVE-2025-23120 به دلیل مدیریت ناهماهنگ مکانیزم عدم دنبالهسازی دادهها(deserialization) در Veeam به وجود آمده است. در این وضعیت، یک کلاس که در لیست مجاز (Allowlist) قرار دارد و قابلیت دنبالهسازی معکوس را دارد، زمینه را برای یک فرایند داخلی عدم دنبالهسازی فراهم میکند. این فرایند از لیست مسدودکننده (Blocklist) برای جلوگیری از بازیابی دادههای ناامن استفاده میکند، اما ضعف آن این است که همچنان امکان دور زدن این محدودیتها وجود دارد.
مهاجم میتواند از دو گجت(کلاس) سریالسازی که در لیست مسدودکننده قرار ندارند
(یعنی Veeam.Backup.EsxManager.xmlFrameworkDs و Veeam.Backup.Core.BackupSummary) استفاده کرده و کد مخرب را اجرا کند.
چه کسانی در معرض خطر هستند؟
این آسیبپذیریها میتوانند توسط هر کاربری که عضو گروه کاربران محلی در میزبان ویندوز سرور Veeam باشد، مورد سوءاستفاده قرار گیرند.حتی بهتر از آن – اگر سروری به دامنه متصل شده باشد، این آسیبپذیریها میتوانند توسط هر کاربر دامنه مورد سوءاستفاده قرار گیرند.
اصلاحیه و چالشهای امنیتی آینده
Veeam در نسخه 12.3.1 (بیلد 12.3.1.1139) این دو کلاس را به لیست مسدودکننده اضافه کرده است؛ اما همچنان در صورت کشف گجتهای جدید، امکان سوءاستفاده از روشهای مشابه وجود دارد.
مشکل اصلی این است که رویکرد Veeam مبتنی بر لیست مسدودکننده (Blocklist) است، در حالی که رویکرد امنتر این است که روش مبتنی بر کلاسهای مورد اعتماد استفاده شود.
آسیبپذیریهای بحرانی در سیستمعامل AIX شرکت IBM
IBM نیز بهروزرسانیهای امنیتی را برای دو آسیبپذیری بحرانی در سیستمعامل AIX منتشر کرده است که میتوانند به اجرای دستورات مخرب از راه دور منجر شوند. جزئیات آسیب پذیری ها به شرح زیر است:
- CVE-2024-56346 (امتیاز CVSS: 10.0)
نوع آسیبپذیری: کنترل دسترسی نادرست
بردار حمله: امکان اجرای دستورات دلخواه توسط مهاجم از راه دور از طریق سرویس NIM master در AIX
- CVE-2024-56347 (امتیاز CVSS: 9.6)
نوع آسیبپذیری: کنترل دسترسی نادرست
بردار حمله: امکان اجرای دستورات دلخواه توسط مهاجم از راه دور از طریق سرویس nimsh و مکانیزم حفاظت SSL/TLS در AIX
اکسپلویت و توصیههای امنیتی
تاکنون هیچ مدرکی مبنی بر اکسپلویت فعال از این آسیبپذیریها منتشر نشده است. بااینحال، به کاربران توصیه میشود در سریعترین زمان ممکن، پچهای امنیتی را اعمال کنند تا از تهدیدات احتمالی جلوگیری شود.
