SentinelXofficial/CVE-2026-44963

# CVE-2026-44963 — Veeam Backup & Replication RCE

## 概述 | 字段 | 详情 | |---|---| | **CVE ID** | CVE-2026-44963 | | **供应商** | Veeam | | **产品** | Backup & Replication | | **受影响版本** | < 12.3.2.4854 (所有 v12 版本) | | **修复版本** | 12.3.2.4854 | | **CVSS v4 评分** | 9.4 — 严重 | | **CVSS v3 评分** | 8.8 — 高危 | | **CWE** | CWE-502 (不可信数据反序列化) | | **发现者** | Sina Kheirkhah @ WatchTowr | | **披露时间** | 2026 年 6 月 9 日 | | **供应商公告** | [KB4869](https://www.veeam.com/kb4869) | ## 漏洞描述 CVE-2026-44963 是 Veeam Backup & Replication 中的一个**远程代码执行 (RCE)** 漏洞，由**不可信数据的不安全反序列化 (CWE-502)** 引起。该漏洞允许任何**已认证的域用户** —— 无需任何提权 —— 在备份服务器上远程执行任意代码。 ### 关键特征 - **攻击向量:** 网络 (AV:N) - **攻击复杂度:** 低 (AC:L) - **所需权限:** 低 —— 任何域用户 (PR:L) - **用户交互:** 无 (UI:N) - **影响范围:** 全系统 + 潜在的横向移动 - **利用条件:** 目标必须**已加入域** ### 危险原因 ``` Any domain account No elevated privilege needed Network access to VBR server Deserialization of crafted payload RCE as SYSTEM/service account Full backup infrastructure compromise ``` ## 仓库结构 ``` CVE-2026-44963/ README.md # This file docs/ technical-analysis.md # Deep-dive technical breakdown timeline.md # Disclosure & patch timeline references.md # External references detection/ scan_veeam.py # Discover Veeam instances on network (TCP scan) check_version.py # Check version via Veeam REST API (auth required) http_prober.py # Custom HTTP fingerprinter — no third-party tools remediation/ patch_checker.py # Validate patch status hardening.ps1 # Post-patch hardening script lab/ setup.md # Lab environment setup guide ioc/ indicators.md # IoCs for SIEM/EDR detection ``` ## 快速参考 ### 攻击流程 (用于授权的渗透测试) ``` 1. Reconnaissance Identify domain-joined Veeam VBR instances 2. Enumeration Confirm version < 12.3.2.4854 3. Access Obtain any valid domain credentials 4. Exploitation Send crafted deserialization payload 5. Post-exploit Extract config DB, harvest creds, lateral move ``` ### 渗透测试人员检查清单 - [ ] 已获得书面授权 - [ ] 已确认范围 (范围内的已加入域的 VBR 服务器) - [ ] 在实际测试前已在实验环境中完成复现 - [ ] 已制定回滚计划 - [ ] 已为您操作启用日志记录/监控 ## 检测 查看 [`ioc/indicators.md`](ioc/indicators.md) 获取完整的 IoC 列表。 **关键检测点：** - `Veeam.Backup.Service.exe` 产生的异常进程派生 - 备份服务器上意外的 `.NET` 反序列化活动 - VBR 主机的异常出站连接 - 认证日志：域用户在非正常时间向 VBR 进行身份验证 ## 修复 **立即行动：** 补丁更新至 Veeam Backup & Replication **12.3.2.4854** **安全加固：** - 限制对 VBR 服务端口的网络访问 - 对域用户访问应用最小权限原则 - 将备份服务器隔离在专用的 VLAN 中 - 在 VBR 上启用增强日志记录 查看 [`remediation/hardening.ps1`](remediation/hardening.ps1) 获取自动化的安全加固脚本。 ## 法律免责声明 ## 参考 - [Veeam KB4869 — 官方公告](https://www.veeam.com/kb4869) - [NVD — CVE-2026-44963](https://nvd.nist.gov/vuln/detail/CVE-2026-44963) - [BleepingComputer 报道](https://www.bleepingcomputer.com/news/security/new-veeam-vulnerability-exposes-backup-servers-to-rce-attacks/) - [WatchTowr — Sina Kheirkhah (@SinSinology)](https://twitter.com/SinSinology) - [CWE-502: 不可信数据反序列化](https://cwe.mitre.org/data/definitions/502.html)

Made with by SentinelX | For the community, by the community

标签：AI合规, GitHub Advanced Security, RCE, Veeam, XXE攻击, 安全加固, 安全漏洞, 补丁检测, 逆向工具