备份解决方案开发商 Veeam Software 修复了 Veeam 服务提供商控制台中的一个漏洞,该控制台是备份和灾难恢复服务提供商使用的管理平台。该错误与服务器端请求伪造 (SSRF) 有关,可用于攻击公司的内部网络。
该漏洞被分配了标识符 CVE-2024-45206(CVSS 评分 6.3),由 Positive Technologies 的专家 Nikita Petrov 发现。
目前,开发人员已经发布了一个更新。要进行修复,您必须安装 Veeam 服务提供商控制台版本 8.1.0.21377 或更高版本。
据报,这些漏洞受 7.x 至 8.0.x 版本(包括 7.x 至 8.0.x)的影响。利用该漏洞可能会使公司面临内部网络受到攻击的风险,因为它允许攻击者代表服务器向外部或内部资源发送任意 HTTP 请求。Veeam 服务提供商控制台可能通过互联网受到攻击。
截至 2025 年 1 月,根据开源数据,全球有 2587 个易受攻击的系统。他们中的大多数在美国 (26%)、土耳其 (20%)、德国和英国 (各 6%)、加拿大和法国 (各 5%)。俄罗斯的装机容量不到 1%。
“在发布更新之前,该漏洞主要对大型企业领域的企业构成风险,这些企业是 Veeam 服务提供商控制台的主要用户。“攻击者可以从服务器向无法从外部访问的资源发起请求,并能够与之交互。这将使他们能够深入了解受害者的网络基础设施,从而促进攻击的执行和后续开发。例如,渗透的可能后果之一可能是利用内部系统中包含的漏洞,“Positive Technologies 安全分析部门渗透测试部门高级专家 Nikita Petrov 评论道。
Acunetix Acunetix Premium AI appscan AppScan Standard(标准版) HCL AppScan WebTest 云安全 五角大楼 人工智能 人类心理学 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 安全漏洞 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 暗网 木马病毒 欺诈管理和网络犯罪 民族国家攻击 漏洞和威胁 特朗普政府 特朗普的 2026 财年预算 社会工程学 移动安全 端点安全 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 脆弱性 间谍软件