資安

CVE-2026-44963:一個普通網域帳號就能接管你的 Veeam 備份伺服器(CVSS 9.4),勒索集團最想要的就是這台

2026.06.25 · 131 次瀏覽
CVE-2026-44963:一個普通網域帳號就能接管你的 Veeam 備份伺服器(CVSS 9.4),勒索集團最想要的就是這台

watchTowr 揭露、Veeam 已修補的 RCE:影響 VBR 12.3.2.4465 及更早版本、13.x 不受影響、修補版 12.3.2.4854。真正該檢討的不是補丁,是你的備份伺服器為何加入了網域。

分享:

勒索集團最想要的那台主機,又開了一道門

資安研究機構 watchTowr 揭露、Veeam 已發布修補:CVE-2026-44963,一個位於 Veeam Backup & Replication(VBR)的遠端程式碼執行漏洞,CVSS v4 評分高達 9.4(見 Veeam KB 公告NVD 記錄)。一句話震撼點:只要備份伺服器加入了網域,一個普通的低權限網域使用者,就能在這台「最後一道防線」上執行任意指令。備份伺服器正是勒索集團夢寐以求的目標。

技術原理用人話講:VBR 的伺服器元件存在一個反序列化/授權處理上的缺陷,當主機是網域成員時,一個已通過網域認證的使用者就能觸發 RCE、接管整台備份伺服器,完全不需要管理員憑證。攻擊鏈很短:拿到任一網域帳號(釣魚、撞庫、外洩密碼)→ 對備份伺服器發送惡意請求 → 取得執行權 → 刪除/加密備份、關閉復原能力 → 逼迫付贖。是否需要認證?需要,但僅需「網域使用者」這個極低門檻。

受影響範圍:VBR 12.3.2.4465 及所有更早的 12 版本13.x 不受影響(架構已改版);修補版為 12.3.2.4854。Veeam 的市佔極高、被全球大量企業用作主要備份方案,這意味著暴露面巨大。歷史更值得警惕:2024 年的 CVE-2024-40711(CVSS 9.8)被 Akira、Fog、Frag 等多個勒索集團武器化;2025 年又有 CVE-2025-23120 的網域層級 RCE。Veeam 漏洞被武器化的速度,向來很快。

這條為什麼值得 24 小時內動手、而不是排進下次維護窗?因為攻擊者打備份的目的就是「讓你無法復原、只能付錢」。接下來我們拆解:技術細節與緩解程式碼、三類讀者的立刻行動、補丁 vs 緩解對照表、威脅獵捕指標,以及通報不會強調的盲點。

技術細節:authenticated RCE,門檻低得危險

漏洞類型屬於「已認證遠端程式碼執行」:攻擊者需要一個有效的網域帳號,但不需要任何管理權限。關鍵前提是「備份伺服器加入了 Active Directory 網域」——這在企業環境極為普遍,卻也正是 Veeam 官方部署指南長年建議避免的配置。PoC 目前未公開,但以 watchTowr 過往對 Veeam 漏洞發布完整技術剖析的紀錄,PoC 與掃描活動通常會在數日內跟上。

# 1) 確認版本(在備份伺服器上以 PowerShell 查)
(Get-ItemProperty 'HKLM:SOFTWAREVeeamVeeam Backup and Replication').CorePackageVersion
# 低於 12.3.2.4854 -> 受影響,請升級
 
# 2) 無法立刻升級時的緩解:確認是否加入網域(最大風險因子)
(Get-WmiObject Win32_ComputerSystem).PartOfDomain
# 回傳 True -> 高風險。Veeam 最佳實務建議備份伺服器使用 workgroup
 
# 3) 收緊本機登入權限(最小化可登入帳號)
#    並隔離備份管理網段、關閉非必要的對內服務埠

修補的根本解是升級到 12.3.2.4854 或遷移到 13.x;治本的架構解則是「不要把備份伺服器加入網域」,讓被攻陷的網域帳號根本無從觸及它。

三類讀者的立刻行動

系統管理員

  • 今天就盤點所有 VBR 版本,低於 12.3.2.4854 的排進緊急升級。
  • 對無法立刻升級的主機,確認 PartOfDomain;若為 True,評估退出網域改用 workgroup。
  • 隔離備份管理網段、收緊可登入備份伺服器的帳號、開啟並備援備份的不可變(immutable/air-gapped)副本。

開發者

  • 檢視自家內部工具與 CI/CD:是否有「已認證即可執行高權限操作」的反模式,補上權限分層。
  • 在 Laravel/Nginx 環境落實最小權限:服務帳號不要用 root、後台管理介面綁 IP 白名單與雙因素。
  • 把關鍵基建(資料庫、備份、部署機)與一般應用網段分離,降低橫向移動半徑。

接案商/顧問

  • 今天就寄一封「備份伺服器體檢」通告給有 Veeam 的客戶(範本:受影響版本、升級版本、退出網域建議、我們可協助)。
  • 把「備份基建安全檢視」列入年度維運合約的固定項目。
  • 替客戶建立資產清單,標記哪些主機加入了網域、哪些跑著關鍵服務。

補丁 vs 緩解措施對照

措施做法防護效果代價 / 限制
立即補丁(首選)升級到 VBR 12.3.2.4854根除漏洞需停機與測試
遷移到 13.x升級到不受影響的 13 分支根除 + 取得新架構高:跨大版本升級
退出網域(關鍵緩解)備份伺服器改用 workgroup + 本機強密碼大幅削減攻擊面管理便利性下降
網路隔離管理介面獨立網段、關非必要埠限制可達性需調整網路架構
最小權限收緊可登入帳號、移除多餘群組成員降低可被濫用帳號數需逐台盤點

IOC 與威脅獵捕指標

此漏洞剛修補、尚無公開 PoC 與大規模實戰利用報告,因此沒有現成的 IP/hash 指標。請改以「行為」獵捕:

  • 異常 process tree:監控 Veeam 服務(如 Veeam.Backup.Manager.exeVeeam.Backup.Service.exe)意外衍生 cmd.exepowershell.exerundll32.exe 等子程序。
  • 可疑登入:備份伺服器上出現非預期的網域帳號互動式或服務登入(事件 ID 4624/4672)。
  • 備份遭破壞:備份任務被停用、刪除,或大量備份檔在短時間內被刪除/加密。
  • 帳號異動:備份伺服器本機管理員群組被加入新成員。

建議把上述偵測規則寫進 SIEM/EDR,並對備份伺服器的 PowerShell 啟用指令稿區塊記錄(Script Block Logging)。

通報不會告訴你的事

  • 『需要認證』不是降級理由:很多團隊看到「authenticated」就把優先級調低,但勒索集團幾乎都已先拿到網域立足點,這類漏洞正是『從一般帳號 → 摧毀備份』的關鍵跳板。對備份伺服器而言,9.4 一點都不誇張。
  • 『升 13 就好』是長尾陷阱:12→13 是跨大版本架構升級,多數企業不會馬上動,等於把暴露面拖長數月。真正能立刻止血的是退出網域,而不是空等升級排程。
  • 沒 PoC ≠ 安全:watchTowr 對 Veeam 漏洞向來會出完整技術文章,歷史上 PoC 與掃描通常數日內出現,把『目前沒被打』當安全是賭運氣。

這代表的更大趨勢

勒索戰術的重心,已從『加密你的檔案』前移到『先摧毀你的復原能力』。備份伺服器因此從後勤角色變成攻擊的首要目標——只要你無法復原,談判桌上就只剩付錢一條路。配合揭露到武器化的時間不斷壓縮(Veeam 系列漏洞屢屢數日內被掃描),SecOps 的功課不再是『等補丁日』,而是把備份基建當成皇冠寶石來做隔離、不可變副本與最小權限。

常見問題 FAQ

我們的 Veeam 在內網、沒對外,還需要急著修嗎?

需要。這個漏洞要求的是「網域使用者」權限,而勒索集團的標準劇本,正是先用釣魚或外洩帳密拿到一個普通網域帳號、再橫向移動。對外與否不是重點——只要你的備份伺服器加入了網域,任何一個被攻陷的低權限帳號都可能拿來打它。內網不等於安全。

我們已經升到 Veeam 13 了,要管這條嗎?

根據 Veeam 公告,13.x 因為架構改版不受此漏洞影響。但請確認你是「真的全部跑在 13」,而不是還有殘留的 12.x 主控台或舊代理沒退役。實務上很多環境是混版的,盲點往往在那台「忘了升級的舊機」。

最快的緩解動作是什麼?

最快是升級到 12.3.2.4854 這個修補版。若無法立刻停機升級,立即採取的緩解是:把備份伺服器移出網域(改用 workgroup 並以本機強密碼管理)、隔離管理介面網段、收緊可登入備份伺服器的帳號到最小範圍。這也是 Veeam 長年的部署最佳實務。

我是做網站的,這條 Windows 備份漏洞跟我有關嗎?

有間接關係。它的本質是「一個低權限的已認證使用者就能在關鍵系統執行指令」,這個教訓對任何內部後台、管理工具、CI/CD 機器都適用:強制認證、最小權限、網路分段、關鍵基建不要隨手加入網域。把這當成檢視你自己(與客戶)內部系統權限邊界的提醒。

我的觀點

幾乎所有通報都只喊一句『快打補丁』,我認為這抓錯了重點。真正該被檢討的問題是:『你的備份伺服器當初為什麼加入了網域?』Veeam 的部署最佳實務多年來都建議備份基建與生產網域隔離,但為了管理方便,現實中一堆環境把它丟進 AD。補丁是治標,退出網域與網路隔離才是治本——這次漏洞只是又一次把這個老問題端上檯面。把賭注全押在『升級排程』上,等於把復原能力交給時間。

對 ScriptWalker,這是一個典型的『客戶看護』時刻。我們應該主動寄一封備份伺服器體檢通告給每一個有 Veeam 或維運 Windows 基建的客戶:列出受影響版本、修補版本、退出網域建議,並附上『我們可協助盤點與加固』。一封及時的通告,往往比十篇行銷文更能把一次性客戶變成長期維運合約。

資料來源

分享: