聚焦源代码安全,网罗国内外最新资讯!
VSPC 是供管理服务提供商 (MSPs) 和企业用于管理和监控数据备份操作的云平台。该公司解释称,“服务提供商可部署 VSPC 交付 Veeam驱动的备份即服务和容灾即服务的服务。企业可通过该解决方案远程、在分支办事处和其它地方处理备份操作。
该漏洞是因为VSPC服务器在与管理代理及其组件之间通信过程中使用不安全的反序列化方法导致的,影响 VSPC 4.0、5.0、6.0、7.0和8.0版本。在某些情况下,攻击者可利用该漏洞在安装了VSPC的服务器上实现远程代码执行,从而中断备份和容灾流程,是勒索软件操纵者的福音。
2013年,网络犯罪分子曾利用了位于 Veeam Backup & Replication 中的漏洞CVE-2023-27532。
好在该漏洞是由 Veeam 团队内部发现的,且并未发现遭活跃利用的迹象。
Veeam 公司提到,“我们建议使用受支持VSPC(版本7和8)的服务提供商更新至最新的累积补丁。强烈建议使用不受支持版本的用户更新至VSPC最新版本。
Veeam 公司的其它产品不受影响。互联网研究人员使用的搜索引擎 Hunter.how 检测发现了超过1600台暴露在互联网的 VSPC 设置,多数位于美国。
https://www.helpnetsecurity.com/2024/05/08/cve-2024-29212/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~