Veeam发布紧急补丁以修复严重安全漏洞

重点摘要

• Veeam 于3月19日发布了针对其备份和复制产品中一个关键的 9.9 反序列化漏洞的补丁，可能允许攻击者进行远程代码执行 (RCE)。
• 此漏洞可能导致备份安全受到威胁，进而引发勒索攻击、数据泄露和业务中断。
• 漏洞编号为 CVE-2025-23120，影响版本 12.3.0.310 及之前所有版本。

Veeam 是一家备份和恢复公司，据报道全球支持 550,000名客户。该公司在其中表示，漏洞编号为 ，该漏洞影响的版本包括 12.3.0.310 及之前的所有版本。研究员 Piotr Bazydlo 首先向 Veeam 报告了这个漏洞。

在 watchTowr 的中提到，如果安全团队没有对其 Veeam服务器进行补丁更新，并且该服务器已连接到组织的活动目录域，那么：“你可能真的处于危险之中。”

这是 Veeam 对此反序列化漏洞的。这种类型的漏洞风险在于，应用程序在从不可信来源（如用户、网络或数据库）接收数据时进行反序列化，而未检查其完整性，攻击者可以注入恶意代码或数据，这些数据在反序列化后可能会损害应用程序的安全性。

“Veeam 似乎尝试通过增加其反序列化阻止（黑）列表来解决以前的反序列化漏洞，” Bugcrowd 创始人 Casey Ellis解释说。“该修复可以缓解已知的代码路径导致的反序列化漏洞，但并未解决同一根本问题的未知代码路径。虽然 Veeam可以通过增加黑名单来缓解新问题，但这基本上就像在一个大型代码库中玩打地鼠。更好的方法应该是默认拒绝，控制反序列化的访问权限，采用白名单机制。”

Qualys 威胁研究小组的安全研究经理 Mayuresh Dani补充说，这个漏洞是一个经典的示例，即当被认为存在漏洞时对脆弱的“设备”进行黑名单管理。Dani认为，不应依赖黑名单，因为如果发现新的反序列化“设备”，它们可能会被绕过。相反，应该实施严格的白名单方法。

“这意味着仅允许反序列化明确批准的类，从而显著减少攻击面，” Dani说道。“我还建议定期进行第三方代码审计、渗透测试和安全评估，以模拟攻击并在漏洞被利用之前识别它们——如果已经没有这样做的话。漏洞奖励参与者也可以鼓励在威胁行为者得知此类漏洞之前，负责任地披露。”

使用此信息时，请确保采取必要的安全措施，以确保您的系统完好无损。