VTS24-014
Veritas Enterprise Vault 中的远程代码执行漏洞
修订历史记录
- 1.0:2024 年 11 月 15 日:初始版本
总结
Veritas 发现一个问题,即 Veritas Enterprise Vault 可能允许在易受攻击的 Enterprise Vault Server 上远程执行代码。
| 问题描述 | 严厉 | 标识符 | CVE 编号 | |
|---|---|---|---|---|
1 |
不受信任的数据反序列化远程代码执行漏洞 |
危急 |
ZDI-CAN-24334 |
|
2 |
不受信任的数据反序列化远程代码执行漏洞 |
危急 |
ZDI-CAN-24336 |
|
3 |
不受信任的数据反序列化远程代码执行漏洞 |
危急 |
ZDI-CAN-24339 |
|
4 |
不受信任的数据反序列化远程代码执行漏洞 |
危急 |
ZDI-CAN-24341 |
|
5 |
不受信任的数据反序列化远程代码执行漏洞 |
危急 |
ZDI-CAN-24343 |
|
6 |
不受信任的数据反序列化远程代码执行漏洞 |
危急 |
ZDI-CAN-24344 |
|
7 |
不受信任的数据反序列化远程代码执行漏洞 |
危急 |
ZDI-CAN-24405 |
问题
- CVE ID:见上文
- 严重性:严重
- CVSS v3.1 基本分数 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
启动时,Enterprise Vault 应用程序会启动多个服务,这些服务在随机的 .NET Remoting TCP 端口上侦听来自客户端应用程序的可能命令。由于 .NET Remoting 服务固有的漏洞,这些 TCP 端口可能会被利用。恶意攻击者可以利用 Enterprise Vault Server 上的 TCP 远程服务和本地 IPC 服务。
当且仅当满足以下所有先决条件时,此漏洞才会影响 Enterprise Vault Server:
- 恶意攻击者拥有对网络中某个 VM 的 RDP 访问权限。为了获得 RDP 访问权限,攻击者需要是远程桌面用户组的一部分。
- 恶意攻击者知道 EV 服务器的 IP 地址、EV 进程 ID(随机)、EV TCP 动态端口(随机)、EV 可远程对象 URI。
- EV 服务器上的防火墙没有正确配置
如果攻击者将特制数据发送到易受攻击的 EV 服务器,则此漏洞可能允许远程执行代码。
受影响的版本
当前支持的所有 Enterprise Vault 版本:15.1, 15.0, 15.0.1, 15.0.2, 14.5, 14.5.2, 14.5.1, 14.4, 14.4.1, 14.4.2, 14.3, 14.3.1, 14.3.2, 14.2, 14.2.3, 14.2.2, 14.2.1, 14.1.3, 14.1.2, 14.1.1, 14.1, 14.0.1, 14.0。早期不受支持的版本也可能受到影响。
缓解措施
通过应用以下指南,可以保护 Enterprise Vault 服务器免受此类 .NET Remoting 攻击:
- 确保只有 EV 管理员有权访问 Enterprise Vault 服务器,如Enterprise Vault 管理员指南.
- 参见:管理管理员安全性
- 确保只有受信任的用户是远程桌面用户组的一部分,并且具有对 Enterprise Vault 服务器的 RDP 访问权限。
- 确保 Enterprise Vault 服务器防火墙已启用并正确配置,如Enterprise Vault 管理员指南
- 确保已在 Enterprise Vault 服务器上安装最新的 Windows 更新。
Veritas 计划在 Enterprise Vault 15.2 中修复这些漏洞,预计将于 25 年第三季度全面上市。
问题
如对这些漏洞有任何疑问或问题,请联系 Veritas 技术支持 (https://www.veritas.com/support)
确认
Veritas 衷心感谢与 Trend Micro 的 Zero Day Initiative (ZDI) 合作的 Sina Kheirkhah 通知我们这些漏洞。
免責聲明
安全建议按“原样”提供,所有明示或暗示的条件、陈述和保证,包括对适销性、特定用途适用性或不侵权的任何暗示保证,均不予否认,除非此类免责声明被认定为在法律上无效。VERITAS TECHNOLOGIES LLC 不对与提供、执行或使用本文档有关的附带或间接损害负责。本文档中包含的信息如有更改,恕不另行通知。
Veritas Technologies LLC
地址: 2625 Augustine Drive
加利福尼亚州圣克拉拉 95054