修订历史记录
- 1.0:2021 年 11 月 16 日:初始版
- 2.0:2021 年 12 月 09 日:添加了 CVE ID
摘要
Veritas 发现了一个问题,即 Veritas Enterprise Vault 可能会允许在易受攻击的 Enterprise Vault 服务器上远程执行代码。
| 问题 | 描述 | 严重性 | 标识符 | CVE ID |
|---|---|---|---|---|
|
1 |
不受信任的数据远程代码执行漏洞的反序列化 |
严重 |
ZDI-CAN-14074 |
|
|
2 |
不受信任的数据远程代码执行漏洞的反序列化 |
严重 |
ZDI-CAN-14075 |
|
|
3 |
不受信任的数据远程代码执行漏洞的反序列化 |
严重 |
ZDI-CAN-14076 |
|
|
4 |
不受信任的数据远程代码执行漏洞的反序列化 |
严重 |
ZDI-CAN-14078 |
|
|
5 |
不受信任的数据远程代码执行漏洞的反序列化 |
严重 |
ZDI-CAN-14079 |
|
|
6 |
不受信任的数据远程代码执行漏洞的反序列化 |
严重 |
ZDI-CAN-14080 |
问题
- CVE ID:见上文
- 严重性:严重
- CVSS v3.1 基础评分:9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
启动时,Enterprise Vault 应用程序会启动多项服务,这些服务在随机的 .NET 远程 TCP 端口上侦听来自客户端应用程序的可能命令。由于 .NET 远程服务固有的漏洞,这些 TCP 端口可能会被利用。恶意攻击程序可能会利用 Enterprise Vault 服务器上的 TCP 远程服务和本地 IPC 服务。
当且仅当满足以下所有先决条件时,此漏洞才会影响 Enterprise Vault 服务器:
- 恶意攻击程序拥有网络中某一 VM 的 RDP 访问权限。为获得 RDP 访问权限,攻击程序需要加入远程桌面用户组。
- 恶意攻击程序知道 EV 服务器的 IP 地址、EV 流程 ID(随机)、 EV TCP 动态端口(随机)、EV 可远程控制的对象 URI。
- EV 服务器上的防火墙未正确配置
如果攻击程序向易受攻击的 EV 服务器发送特制的数据,则此漏洞可能会允许远程执行代码。
受影响的版本
所有目前受支持的 Enterprise Vault 版本:14.2.1、14.2、14.1.3、14.1.2、14.1.1、14.1、14.0.1、14.0、12.5.3、12.5.2、12.5.1、12.5、12.4.2、12.4.1、12.4、12.3.2、12.3.1、12.3、12.2.3、12.2.2、12.2.1、12.2、12.1.3、12.1.2、12.1.1、12.1、12.0.4、12.0.3、12.0.2、12.0.1、12.0。不受支持的早期版本可能也会受到影响。
缓解方案
可以通过应用以下准侧来保护 Enterprise Vault 服务器免遭此类 .NET 远程攻击:
- 确保只有 EV 管理员有权访问 Enterprise Vault 服务器,如 Enterprise Vault 管理指南中所述。
- 请参阅管理员安全管理
- 确保只有受信任的用户可以加入远程桌面用户组,并且拥有 Enterprise Vault 服务器的 RDP 访问权限。
- 确保 Enterprise Vault 服务器防火墙已启用且配置正确,如 Enterprise Vault 管理指南中所述
- 确保已在 Enterprise Vault 服务器上安装最新的 Windows 更新。
疑问
如有关于这些漏洞的疑问或问题,请联系 Veritas 技术支持 (https://www.veritas.com/support/zh_CN)。
鸣谢
Veritas 对 Markus Wulftange 和 Reno Robert 通过 Trend Micro 的 Zero Day Initiative (ZDI) 告知我们这些漏洞表示感谢。
免责声明
本安全公告按“原样”提供,对于所有明示或暗示的条款、陈述和保证,包括任何适销性、针对特定用途的适用性或未侵权的暗示保证,均不提供任何担保,除非此类免责声明的范围在法律上视为无效。Veritas Technologies LLC 不对任何与提供、执行或使用本文档相关的伴随或后果性损害负责。本文档所含信息如有更改,恕不另行通知。
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054