最近由MDSec ActiveBreach紅隊(duì)進(jìn)行的對(duì)手模擬發(fā)現(xiàn)了ArcServe UDP備份軟件中的一個(gè)關(guān)鍵漏洞。

跟蹤C(jī)VE-2023-26258，該漏洞影響7.0到9.0版本的軟件，并允許遠(yuǎn)程代碼執(zhí)行(RCE)，對(duì)依賴該軟件作為備份基礎(chǔ)設(shè)施的組織構(gòu)成重大風(fēng)險(xiǎn)。

Bugcrowd安全運(yùn)營(yíng)高級(jí)總監(jiān)邁克爾?斯凱爾頓(Michael Skelton)表示:“確保備份系統(tǒng)安全的重要性怎么強(qiáng)調(diào)都不為過。它應(yīng)該被視為與其支持的運(yùn)營(yíng)生產(chǎn)系統(tǒng)同等重要，甚至更重要。”

根據(jù)安全專家的說法，一旦發(fā)生安全漏洞，這些備份系統(tǒng)可能會(huì)被專門針對(duì)破壞，從而導(dǎo)致生產(chǎn)系統(tǒng)無法使用。

斯凱爾頓補(bǔ)充說:“這種妥協(xié)的情況可能會(huì)使任何形式的數(shù)據(jù)恢復(fù)和系統(tǒng)重建都無法實(shí)現(xiàn)?！?/strong>

在MDSec模擬過程中，安全分析師Juan Manuel Fernandez和Sean Doherty發(fā)現(xiàn)了一個(gè)允許訪問軟件管理界面的身份驗(yàn)證繞過漏洞。

通過攔截和修改特定的HTTP請(qǐng)求，攻擊者可以將軟件重定向到他們控制下的HTTP服務(wù)器，從而授予未經(jīng)授權(quán)的訪問權(quán)限。

一旦進(jìn)入，紅隊(duì)發(fā)現(xiàn)了額外的技術(shù)來提取敏感信息，包括管理員密碼。利用該漏洞和隨后的密碼檢索突出了對(duì)安全補(bǔ)丁的迫切需要。

Conversant Group首席技術(shù)官Brandon Williams表示:“如果你的數(shù)據(jù)保護(hù)解決方案架構(gòu)合理，那么你的備份最終會(huì)受到多個(gè)身份源的保護(hù)?！?/strong>

理想情況下，備份策略應(yīng)該防止訪問，但也要提供不變性、冗余、可恢復(fù)性和彈性，多層安全控制。

據(jù)報(bào)道，MDSec團(tuán)隊(duì)于2月2日向ArcServe披露了該漏洞，經(jīng)過漫長(zhǎng)的過程，于2023年6月27日發(fā)布了補(bǔ)丁，解決了這個(gè)問題。然而，人們對(duì)安全研究人員缺乏適當(dāng)?shù)男庞帽硎緭?dān)憂。

強(qiáng)烈建議用戶將ArcServe UDP備份軟件更新到最新版本，以降低被利用的風(fēng)險(xiǎn)。

標(biāo)簽：