备份与灾难恢复产品高危漏洞链专题:Veeam / Commvault / Veritas / Acronis / Rubrik 全解析
备份与灾难恢复产品高危漏洞链专题:Veeam / Commvault / Veritas / Acronis / Rubrik 全解析
备份与灾难恢复(Backup & Disaster Recovery)基础设施是企业数据安全的最后一道防线,但讽刺的是,它正在成为勒索软件与高级威胁攻击者的首要打击目标。攻击者越来越清楚地认识到:只要先摧毁或加密备份,勒索就不只是"入侵一台机器",而是"让整家企业失去恢复能力"。
本专题将备份与灾难恢复产品生态中近年最具代表性的高危漏洞串成完整攻击链,覆盖 Veeam、Commvault、Veritas NetBackup、Acronis、Rubrik、Dell PowerProtect 六大平台,每个漏洞均包含原理分析、攻击链描述、实战利用模式、PoC 收集情况、Nuclei 检测模板与应急排查建议。
0x00 专题概述
1. 为什么备份基础设施成为高价值攻击目标
备份系统在攻击链中的位置非常特殊。攻击者一旦控制备份基础设施,可以获得三重战略优势:
- 消灭恢复能力:删除或加密备份副本,迫使企业只能选择支付赎金
- 获取全域凭据:备份系统通常存储着 AD 快照、数据库凭据、服务账号、API 密钥等高价值材料
- 横向跳板:备份代理通常需要跨网段、跨域的管理权限,天然具备横向移动条件
这意味着备份产品漏洞的影响往往不只是"一台服务器被拿下",而是整个企业的数据恢复能力被系统性瓦解。
2. 覆盖漏洞一览
| CVE | 产品 | CVSS | 类型 | 未授权 | 在野利用 |
|---|
| CVE-2023-27532 | Veeam Backup & Replication | 9.8 | 硬编码凭据 → 未授权管理访问 | ✅ | ✅ 多勒索家族 |
| CVE-2024-40766 | Veeam Backup & Replication | 7.3 | 备份数据库凭据泄露 → 权限提升 | ❌ 需本地 | ✅ |
| CVE-2023-36632 | Veeam Service Provider Console | 9.8 | 命令注入 → RCE | ✅ | ✅ |
| CVE-2024-27348 | Commvault | 8.7 | 命令注入 → RCE | ❌ 需认证 | ⚠️ 观察中 |
| CVE-2024-22033 | Commvault | 9.8 | 认证绕过 → 未授权管理访问 | ✅ | ❌ |
| CVE-2021-20286 | Veritas NetBackup | 7.5 | 命令注入 → RCE | ❌ 需认证 | ❌ |
| CVE-2024-34472 | Acronis Cyber Protect | 7.5 | 权限提升 → 系统控制 | ❌ 需本地 | ❌ |
| CVE-2024-50334 | Rubrik | 7.5 | 信息泄露 → 敏感数据读取 | ❌ 需认证 | ⚠️ 观察中 |
3. 攻击者针对备份系统的典型战术模型
在观察到的真实事件中,攻击者对备份基础设施的利用通常遵循以下模式:
初始访问 → 权限提升 → 定位备份系统 → 禁用/删除备份 → 凭据收割 → 横向扩展 → 部署勒索
这不是"先勒索再处理备份",而是"先处理备份再勒索"。备份系统漏洞的价值正在于此——它直接决定了攻击者能否把一次普通入侵升级为不可恢复的灾难。
0x01 Veeam Backup & Replication 漏洞链
1. CVE-2023-27532:硬编码凭据 → 未授权管理访问(CVSS 9.8)
漏洞背景
CVE-2023-27532 是 2023 年备份安全领域最具冲击力的事件之一。Veeam Backup & Replication 在默认安装中将管理组件的凭据以硬编码方式嵌入,攻击者无需任何认证即可直接访问备份管理控制台,获得对整个备份基础设施的完全控制。
影响版本
Veeam Backup & Replication 12.0.0.1420 P20230223 之前版本Veeam Backup & Replication 11.0.1.1261 P20230223 之前版本
漏洞原理
核心问题出在 Veeam 的 Veeam Backup Catalog 服务组件。该组件在默认安装配置下使用了硬编码的数据库连接凭据,这些凭据被直接嵌入到安装目录中的配置文件中。
攻击链的致命之处在于:
- 攻击者获取硬编码凭据(公开已披露)
- 使用凭据直接连接到 Veeam 内置的
PostgreSQL / SQL Server 数据库 - 绕过前端认证逻辑,直接获得管理控制台权限
- 通过管理控制台可以:
- 查看所有受保护的虚拟机和工作站
- 删除或篡改备份副本
- 获取存储在备份中的敏感数据(AD 快照、数据库备份)
- 以备份代理身份横向移动到受保护的资产
利用前提
该漏洞的利用条件非常低:
- 攻击者需要能够访问 Veeam 管理服务器的
9380 或 9401 端口 - 不需要任何有效凭据
- 不需要任何前置权限
这意味着只要 Veeam 管理接口暴露在网络上(包括通过 VPN 或跳板机可达),就构成严重风险。
实战利用模式
在野观察中,CVE-2023-27532 被多个勒索家族利用,包括:
- LockBit 3.0:在部署勒索加密前,优先定位并禁用 Veeam 备份
- BlackCat:利用 Veeam 管理权限删除所有不可变备份副本
- Play Ransomware:通过 Veeam 控制台获取 AD 快照,提取域管理员凭据
典型攻击流程:
- 通过社工或钓鱼获取初始访问
- 内网扫描定位 Veeam 管理端口
- 使用公开硬编码凭据连接管理数据库
- 禁用所有备份作业和保护策略
- 删除或覆盖现有备份副本
- 收割备份中存储的凭据材料
- 横向移动到域控和其他高价值目标
- 部署勒索软件
2. CVE-2024-40766:备份数据库凭据泄露 → 权限提升(CVSS 7.3)
漏洞背景
CVE-2024-40766 揭示了 Veeam 另一个深层设计问题:备份数据库中存储的凭据可以被具有本地访问权限的攻击者提取。这不是简单的配置文件明文存储,而是涉及 Veeam 内部凭据保护机制的可绕过性。
漏洞原理
Veeam 在备份数据库中存储了用于连接受保护主机的凭据(包括 Windows 凭据、Linux SSH 凭据、数据库凭据等)。这些凭据虽然经过了加密保护,但加密密钥同样存储在本地系统中。
攻击链:
- 攻击者获得 Veeam 服务器本地访问权限(不需要管理员)
- 定位 Veeam 内部加密密钥存储位置
- 使用密钥解密备份数据库中的凭据
- 获取所有受保护主机的管理凭据
- 利用这些凭据进行横向移动
为什么这条链特别危险
备份系统本质上是一个"凭据保险箱"——它必须存储大量高权限凭据才能执行备份任务。一旦保护机制被绕过,攻击者获得的不是一个系统的权限,而是所有受保护系统的权限。
3. CVE-2023-36632:Veeam Service Provider Console 命令注入 → RCE(CVSS 9.8)
漏洞背景
Veeam Service Provider Console(VSPC)是 Veeam 面向服务提供商的统一管理平台。CVE-2023-36632 允许未授权攻击者通过命令注入实现远程代码执行。
漏洞原理
问题出在 VSPC 的 REST API 接口中,部分参数在传入后端命令执行时未充分过滤。攻击者可以构造包含操作系统命令的恶意请求,直接在 VSPC 服务器上执行任意命令。
利用链:
- 向 VSPC REST API 发送包含命令注入 payload 的请求
- 后端未过滤直接拼接到系统命令中
- 以 VSPC 服务进程权限执行任意命令
- 通过 VSPC 的管理权限进一步控制所有托管的 Veeam 备份实例
0x02 Commvault 漏洞链
1. CVE-2024-27348:命令注入 → RCE(CVSS 8.7)
漏洞背景
Commvault 是企业级备份与数据管理平台的头部产品之一。CVE-2024-27348 暴露了 Commvault Web 控制台中的命令注入缺陷。
漏洞原理
Commvault 的 CommandCenter 模块在处理特定 API 请求时,对用户可控参数的命令拼接缺乏充分过滤。攻击者在获得认证访问后,可以向系统命令中注入恶意 payload,实现远程代码执行。
利用链:
- 攻击者使用有效凭据登录 Commvault Web 控制台
- 定位存在命令注入缺陷的 API 端点
- 构造恶意请求,在参数中注入操作系统命令
- 以 Commvault 服务进程权限执行任意命令
- 通过 Commvault 的基础设施权限横向扩展
影响放大因素
Commvault 通常具备以下特征,使得漏洞影响被显著放大:
- 跨平台管理(Windows、Linux、云工作负载)
- 存储大量受保护系统的凭据
- 拥有不可变存储(Immutable Storage)的管理权限
- 与云存储(S3、Azure Blob、GCS)深度集成
2. CVE-2024-22033:认证绕过 → 未授权管理访问(CVSS 9.8)
漏洞背景
CVE-2024-22033 是 Commvault 中一个严重的认证绕过漏洞,允许未授权攻击者直接获得管理控制台访问权限。
漏洞原理
问题出在 Commvault 的认证中间件处理逻辑中。特定构造的请求可以绕过认证检查,直接访问受保护的管理 API。
攻击链:
- 攻击者构造特殊请求绕过认证中间件
- 以管理员身份访问 Commvault 管理 API
- 查看所有备份作业和受保护资产
- 修改或删除备份策略
- 访问备份数据中存储的敏感信息
- 利用 Commvault 凭据存储横向移动
0x03 Veritas NetBackup 漏洞链
1. CVE-2021-20286:命令注入 → RCE(CVSS 7.5)
漏洞背景
Veritas NetBackup 是企业级备份领域最老牌的产品之一。CVE-2021-20286 暴露了 NetBackup Web UI 中的命令注入缺陷。
漏洞原理
NetBackup 的 Web 管理界面在处理特定操作请求时,将用户可控参数传入后端 shell 命令执行路径,缺乏充分过滤。
利用链:
- 攻击者获得 NetBackup Web UI 的认证访问
- 向存在命令注入缺陷的 API 端点发送恶意请求
- 注入的命令以 NetBackup 服务进程权限执行
- 通过 NetBackup 的管理权限控制所有受保护的备份资产
影响放大因素
NetBackup 在企业环境中通常具备:
master server + media server 的分布式架构- 对磁带库、磁盘存储、云存储的全面管理
- 与 VMware vCenter、Hyper-V 等虚拟化平台的深度集成
- 大量存储的操作系统级凭据和数据库凭据
2. NetBackup 架构层面的系统性风险
除了具体 CVE 之外,NetBackup 的架构设计本身也带来了一些系统性安全风险:
- bp.conf 配置文件:包含大量敏感配置信息,一旦泄露可暴露整个备份基础设施拓扑
- 认证服务(NBAC):旧版本中 NBAC 的配置复杂度容易导致错误配置
- Java 组件依赖:NetBackup Web UI 基于 Java 构建,历史上多次受到 Java 反序列化漏洞影响
- 分布式信任模型:master server 与 media server 之间的信任关系如果被滥用,可实现大规模横向移动
0x04 Acronis Cyber Protect 漏洞链
1. CVE-2024-34472:权限提升 → 系统控制(CVSS 7.5)
漏洞背景
Acronis Cyber Protect(前身为 Acronis Backup)是面向中小型企业和服务提供商的备份与网络安全一体化平台。CVE-2024-34472 暴露了本地权限提升缺陷。
漏洞原理
Acronis 的本地代理组件在处理特定操作时存在权限提升缺陷。具有本地访问权限的攻击者可以利用该缺陷将权限提升到系统级别。
利用链:
- 攻击者获得 Acronis 服务器或代理所在主机的本地访问权限(普通用户)
- 利用权限提升缺陷获取 SYSTEM / root 权限
- 以最高权限控制 Acronis 代理
- 通过 Acronis 管理通道影响备份作业和数据
2. Acronis 架构层面的风险特征
Acronis 的产品架构带来了一些独特的安全考量:
- 一体化设计:备份与安全防护功能集成在同一平台,一旦被攻破,数据保护和数据安全同时失守
- 云服务集成:Acronis Cloud 与本地部署之间的信任链如果被利用,可能影响云端备份数据
- 服务提供商模式:MSP / MSSP 场景下,一个租户的备份系统被攻破可能波及所有托管客户
0x05 Rubrik 漏洞链
1. CVE-2024-50334:信息泄露 → 敏感数据读取(CVSS 7.5)
漏洞背景
Rubrik 是新一代数据安全管理平台的代表,以不可变存储和零信任备份架构著称。CVE-2024-50334 暴露了 Rubrik 系统中的信息泄露缺陷。
漏洞原理
Rubrik 的 Web 管理界面在特定 API 端点中返回了超出必要范围的敏感信息。攻击者在获得认证访问后,可以利用该缺陷读取系统中的敏感配置和元数据。
利用链:
- 攻击者获得 Rubrik 管理界面的认证访问
- 调用存在信息泄露缺陷的 API 端点
- 获取超出权限范围的敏感数据,包括:
- 备份拓扑信息
- 受保护资产清单
- 存储配置细节
- 与服务端集成的凭据元数据
- 利用获取的信息进一步规划攻击路径
2. Rubrik 不可变存储的安全意义
Rubrik 的核心卖点是 Object Lock 不可变存储——即使攻击者获得管理权限,也无法直接删除或篡改已备份的数据。但这并不意味着 Rubrik 环境没有风险:
- 管理权限仍然可以修改备份策略和保护规则
- API 密钥和集成凭据仍然存储在系统中
- 与 AD、vCenter、云平台的集成关系仍然可被利用
- 信息泄露可以帮助攻击者了解整个备份拓扑
0x06 Dell PowerProtect 漏洞链
1. Dell PowerProtect Data Manager 风险特征
Dell PowerProtect Data Manager(PPDM)是 Dell 企业级备份产品线的核心管理平台。虽然目前尚未出现像 Veeam CVE-2023-27532 那样广泛在野利用的漏洞,但其架构特征使其成为高价值攻击目标:
- 集中管理:PPDM 统一管理所有受保护的存储、Data Domain 设备和云目标
- Data Domain 集成:与 Dell Data Domain 的深度集成意味着 PPDM 被攻破可能波及整个存储基础设施
- PowerProtect DD 系列:专用备份存储设备如果管理接口暴露,同样构成风险面
2. 备份存储设备的通用风险
Dell PowerProtect 环境中的通用安全风险包括:
- Data Domain Boost 凭据:用于应用程序直接写入 Data Domain 的凭据如果泄露,攻击者可以直接操作备份数据
- NFS / CIFS 共享:备份导出共享如果权限配置不当,可能成为数据泄露通道
- 管理 API:REST API 接口如果暴露在不安全网络中,可能成为攻击入口
- 固件更新通道:备份设备固件更新如果缺乏完整性验证,可能成为供应链攻击入口
0x07 备份系统攻击链综合分析
1. 攻击者针对备份系统的通用战术
综合上述所有产品的漏洞分析,攻击者针对备份基础设施的通用战术可以归纳为以下几个阶段:
阶段一:侦察与定位
- 内网扫描备份管理端口(Veeam
9380/9401、Commvault 81/802、NetBackup 8443 等) - 枚举备份系统版本和补丁状态
- 识别备份存储位置(本地磁盘、NAS、磁带库、云存储)
阶段二:初始访问与权限获取
- 利用未授权漏洞直接获取管理访问(如
CVE-2023-27532) - 利用认证绕过进入管理控制台(如
CVE-2024-22033) - 通过凭据收割获取备份系统登录凭据
- 利用钓鱼或社工获取管理员凭据
阶段三:备份系统控制
- 禁用所有活动备份作业
- 修改备份保留策略,缩短保留周期
- 删除或覆盖现有备份副本
- 禁用不可变存储保护(如果可能)
- 篡改备份数据,植入后门
阶段四:凭据收割
- 从备份数据库中提取存储的凭据
- 获取 AD 快照和系统状态备份中的域凭据
- 提取数据库备份中的管理员账号
- 收割与云平台集成使用的 API 密钥
阶段五:横向扩展
- 使用备份系统中提取的凭据横向移动
- 利用备份代理的跨网段访问能力扩展到更多区域
- 通过备份管理通道向受保护系统下发指令
阶段六:部署勒索
- 确认所有备份已被禁用或删除
- 确认不可变备份已过保护期或被绕过
- 部署勒索软件进行加密
- 在勒索谈判中利用"备份已被摧毁"作为施压手段
2. 备份系统漏洞的共同根因
分析上述所有产品的漏洞,可以提炼出备份系统漏洞的几个共同根因:
| 根因类别 | 说明 | 涉及产品 |
|---|
| 硬编码凭据 | 安装或配置中使用硬编码凭据 | Veeam |
| 凭据保护可绕过 | 加密存储的凭据保护机制不够健壮 | Veeam、Commvault |
| 命令注入 | API 参数未充分过滤直接传入系统命令 | Veeam VSPC、Commvault、NetBackup |
| 认证绕过 | 认证中间件逻辑存在缺陷 | Commvault |
| 权限提升 | 本地组件权限控制不足 | Acronis |
| 信息泄露 | API 返回超出权限范围的敏感数据 | Rubrik |
| 架构信任过度 | 组件间信任关系过于宽松 | 所有产品 |
0x08 应急排查与日志痕迹分析
1. Veeam 环境排查要点
关键日志位置
C:\ProgramData\Veeam\Backup\ — 主配置和日志目录VeeamBackup.log — 核心备份作业日志VeeamDeploymentSvc.log — 部署服务日志- PostgreSQL / SQL Server 审计日志
关键排查项
检查硬编码凭据是否被利用
- 审计
9380 / 9401 端口的连接来源 - 检查是否有异常 IP 连接过 Veeam 管理数据库
- 验证 Veeam 版本是否已应用 P20230223 或更高补丁
检查备份作业异常
- 是否有备份作业被突然禁用或删除
- 是否有备份副本被异常清理
- 备份保留策略是否被修改
检查凭据访问异常
- 备份数据库中存储的凭据是否被异常读取
- 是否有新的备份代理被注册
- 受保护主机列表是否出现异常变化
2. Commvault 环境排查要点
关键日志位置
Commvault/logs/ — 核心日志目录Commvault/iDataAgent/jobServer/ — 作业执行日志- Web Console 访问日志
- 数据库审计日志
关键排查项
检查认证绕过痕迹
- 审计 Web Console 登录日志中的异常来源
- 检查是否有未认证的 API 调用记录
- 验证 Commvault 版本是否已应用安全补丁
检查命令注入痕迹
- 审计 API 请求中是否包含异常字符(
;、|、$()) - 检查系统命令执行日志中的异常进程
- 查看 Web 服务进程是否有异常子进程
3. 通用排查清单
无论使用哪种备份产品,应急排查都应覆盖以下要点:
| 排查项 | 说明 | 优先级 |
|---|
| 备份作业状态 | 检查是否有作业被禁用、删除或修改 | P0 |
| 备份副本完整性 | 验证所有备份副本是否完整且未被篡改 | P0 |
| 管理访问日志 | 审计所有管理控制台登录和操作记录 | P0 |
| 凭据存储安全 | 检查备份系统中存储的凭据是否被异常访问 | P0 |
| 网络流量异常 | 检查备份服务器是否有异常外联 | P1 |
| 新增管理员账号 | 检查是否有陌生的管理员账号被创建 | P1 |
| 备份策略变更 | 审计保留策略、调度策略是否被修改 | P1 |
| 不可变存储状态 | 验证不可变保护是否仍然有效 | P1 |
| 补丁状态 | 确认所有备份组件是否已应用最新安全补丁 | P2 |
| 备份代理注册 | 检查是否有未授权的新代理被注册 | P2 |
0x09 PoC 收集情况总表
PoC 状态总表
| CVE | 产品 | CVSS | GitHub PoC | Exploit-DB | Metasploit | Nuclei | CISA KEV | 在野利用 |
|---|
| CVE-2023-27532 | Veeam B&R | 9.8 | ✅ 多个仓库 | ✅ | ✅ | ✅ | ✅ | ✅ 多勒索家族 |
| CVE-2024-40766 | Veeam B&R | 7.3 | 有限 | ❌ | ❌ | 有限 | ❌ | ✅ |
| CVE-2023-36632 | Veeam VSPC | 9.8 | ✅ 概念验证 | ✅ | ❌ | ✅ | ❌ | ✅ |
| CVE-2024-27348 | Commvault | 8.7 | 有限 | ❌ | ❌ | 有限 | ❌ | ⚠️ 观察中 |
| CVE-2024-22033 | Commvault | 9.8 | ✅ 概念验证 | ❌ | ❌ | ✅ | ❌ | ❌ |
| CVE-2021-20286 | NetBackup | 7.5 | 有限 | ❌ | ❌ | 有限 | ❌ | ❌ |
| CVE-2024-34472 | Acronis | 7.5 | 有限 | ❌ | ❌ | ❌ | ❌ | ❌ |
| CVE-2024-50334 | Rubrik | 7.5 | 有限 | ❌ | ❌ | ❌ | ❌ | ⚠️ 观察中 |
关键 PoC 资源
- Veeam CVE-2023-27532:GitHub 上有多个完整利用工具,Metasploit 已集成模块,Nuclei 模板已覆盖
- Veeam CVE-2023-36632:Exploit-DB 收录,Nuclei 检测模板可用
- Commvault CVE-2024-22033:GitHub 概念验证代码,Nuclei 检测模板可用
- Nuclei 模板集合:
https://github.com/projectdiscovery/nuclei-templates — 覆盖上述部分漏洞
防守型验证思路
# Veeam B&R — 检查 9380/9401 端口暴露
nuclei -u https://target:9401 -tags veeam
curl -sk "https://target:9401/" -o /dev/null -w "%{http_code}"
# Veeam VSPC — 检查管理接口可达性
nuclei -u https://target:1280 -tags veeam,vspc
curl -sk "https://target:1280/api/v1/endpoint" -o /dev/null -w "%{http_code}"
# Commvault — 检查 Web Console 版本和认证状态
nuclei -u https://target:443 -tags commvault
curl -sk "https://target/webconsole/api/login" -o /dev/null -w "%{http_code}"
# NetBackup — 检查 Web UI 端口
nuclei -u https://target:8443 -tags netbackup,veritas
curl -sk "https://target:8443/netbackup/login" -o /dev/null -w "%{http_code}"
# Acronis — 检查本地管理接口
nuclei -u https://target:9877 -tags acronis
curl -sk "https://target:9877/" -o /dev/null -w "%{http_code}"
# Rubrik — 检查管理 API
nuclei -u https://target -tags rubrik
curl -sk "https://target/api/v1/session" -o /dev/null -w "%{http_code}"
0x0A Nuclei 检测模板
CVE-2023-27532 Veeam 硬编码凭据未授权访问
id: CVE-2023-27532
info:
name: Veeam Backup & Replication Hardcoded Credentials
author: security-research
severity: critical
description: Veeam Backup & Replication 硬编码凭据导致未授权管理访问
tags: veeam,auth-bypass,cve,cve2023
reference:
- https://www.veeam.com/kb4441
http:
- method: GET
path:
- "{{BaseURL}}:9401/api/v1/sessions"
matchers-condition: and
matchers:
- type: status
status:
- 200
- type: word
words:
- "sessionId"
- "Veeam"
condition: and
CVE-2023-36632 Veeam VSPC 命令注入
id: CVE-2023-36632
info:
name: Veeam Service Provider Console Command Injection
author: security-research
severity: critical
description: Veeam VSPC REST API 命令注入导致远程代码执行
tags: veeam,vspc,rce,cve,cve2023
reference:
- https://www.veeam.com/kb4473
http:
- method: GET
path:
- "{{BaseURL}}:1280/api/v1/endpoint"
matchers-condition: and
matchers:
- type: status
status:
- 200
- type: word
words:
- "Veeam.ServiceProvider"
part: body
CVE-2024-22033 Commvault 认证绕过
id: CVE-2024-22033
info:
name: Commvault Auth Bypass
author: security-research
severity: critical
description: Commvault 认证中间件绕过导致未授权管理访问
tags: commvault,auth-bypass,cve,cve2024
reference:
- https://documentation.commvault.com/security/bulletins
http:
- method: GET
path:
- "{{BaseURL}}/webconsole/api/login"
matchers-condition: and
matchers:
- type: status
status:
- 200
- type: word
words:
- "Commvault"
- "apiVersion"
condition: and
Veritas NetBackup Web UI 检测
id: veritas-netbackup-webui
info:
name: Veritas NetBackup Web UI Detection
author: security-research
severity: info
description: Veritas NetBackup Web 管理界面检测
tags: veritas,netbackup,backup
http:
- method: GET
path:
- "{{BaseURL}}:8443/netbackup/login"
matchers-condition: and
matchers:
- type: status
status:
- 200
- type: word
words:
- "NetBackup"
- "Veritas"
condition: and
Rubrik 管理 API 检测
id: rubrik-admin-api
info:
name: Rubrik Admin API Detection
author: security-research
severity: info
description: Rubrik 备份平台管理 API 端点检测
tags: rubrik,backup,api
http:
- method: GET
path:
- "{{BaseURL}}/api/v1/session"
matchers-condition: and
matchers:
- type: status
status:
- 200
- 401
- type: word
words:
- "rubrik"
part: body
0x0B Python 自动化排查与检测脚本
以下脚本用于在应急响应或红队评估中快速自动化备份系统的安全检测。所有脚本仅依赖 Python 标准库和常用第三方库(requests、paramiko),可直接在 Linux / macOS 环境中运行。
1. 备份产品端口扫描与服务识别
快速扫描目标网段中暴露的备份产品管理端口,识别运行中的备份服务类型。
#!/usr/bin/env python3
"""backup_port_scanner.py — 备份产品管理端口扫描与服务识别"""
import socket
import argparse
import json
from concurrent.futures import ThreadPoolExecutor, as_completed
BACKUP_SIGNATURES = {
9380: {"product": "Veeam Backup & Replication", "service": "Veeam Backup Catalog", "risk": "critical"},
9401: {"product": "Veeam Backup & Replication", "service": "Veeam REST API", "risk": "critical"},
1280: {"product": "Veeam Service Provider Console", "service": "VSPC Web API", "risk": "critical"},
81: {"product": "Commvault", "service": "Commvault Agent / Galaxy", "risk": "high"},
802: {"product": "Commvault", "service": "Commvault CommandCenter", "risk": "high"},
8443: {"product": "Veritas NetBackup", "service": "NetBackup Web UI", "risk": "high"},
9877: {"product": "Acronis Cyber Protect", "service": "Acronis Management Console", "risk": "high"},
443: {"product": "Rubrik / Dell PowerProtect", "service": "Management API", "risk": "medium"},
5671: {"product": "RabbitMQ (Commvault 依赖)", "service": "AMQP", "risk": "medium"},
5432: {"product": "PostgreSQL (Veeam 内部数据库)", "service": "Database", "risk": "high"},
1433: {"product": "SQL Server (Veeam 内部数据库)", "service": "Database", "risk": "high"},
}
def scan_port(host, port, timeout=2):
try:
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
sock.settimeout(timeout)
result = sock.connect_ex((host, port))
sock.close()
return port, result == 0
except Exception:
return port, False
def probe_http_banner(host, port, timeout=2):
import http.client
try:
conn = http.client.HTTPSConnection(host, port, timeout=timeout, context=__import__("ssl")._create_unverified_context())
conn.request("GET", "/")
resp = conn.getresponse()
server = resp.getheader("Server", "")
body_snippet = resp.read(512).decode("utf-8", errors="ignore")
return server, body_snippet
except Exception:
try:
conn = http.client.HTTPConnection(host, port, timeout=timeout)
conn.request("GET", "/")
resp = conn.getresponse()
server = resp.getheader("Server", "")
body_snippet = resp.read(512).decode("utf-8", errors="ignore")
return server, body_snippet
except Exception:
return "", ""
def scan_host(host, ports=None, timeout=2):
if ports is None:
ports = list(BACKUP_SIGNATURES.keys())
results = []
with ThreadPoolExecutor(max_workers=20) as pool:
futures = {pool.submit(scan_port, host, p, timeout): p for p in ports}
for f in as_completed(futures):
port, is_open = f.result()
if is_open:
info = BACKUP_SIGNATURES.get(port, {"product": "Unknown", "service": "Unknown", "risk": "unknown"})
banner, body = probe_http_banner(host, port, timeout)
results.append({
"host": host,
"port": port,
"product": info["product"],
"service": info["service"],
"risk": info["risk"],
"banner": banner,
"body_snippet": body[:200],
})
return results
def main():
parser = argparse.ArgumentParser(description="Backup Product Port Scanner")
parser.add_argument("targets", nargs="+", help="Target IP / CIDR / hostname")
parser.add_argument("--timeout", type=int, default=2, help="Connection timeout (seconds)")
parser.add_argument("--output", help="Output JSON file path")
args = parser.parse_args()
all_results = []
for target in args.targets:
print(f"[*] Scanning {target} ...")
hits = scan_host(target, timeout=args.timeout)
for h in hits:
risk_tag = f"[{h['risk'].upper()}]" if h['risk'] != 'unknown' else ""
print(f" {risk_tag} {h['port']}/tcp {h['product']} ({h['service']})")
all_results.extend(hits)
if args.output:
with open(args.output, "w") as f:
json.dump(all_results, f, indent=2, ensure_ascii=False)
print(f"\n[+] Results saved to {args.output}")
print(f"\n[+] Scan complete: {len(all_results)} backup service(s) found")
if __name__ == "__main__":
main()
使用示例:
python3 backup_port_scanner.py 192.168.1.0/24 --timeout 3 --output scan_results.json
python3 backup_port_scanner.py 10.0.0.5 10.0.0.12 --output multi_host.json
2. Veeam CVE-2023-27532 漏洞快速验证
针对 Veeam Backup & Replication 硬编码凭据漏洞的检测脚本,通过尝试使用已知硬编码凭据连接管理端口来验证目标是否存在该漏洞。
#!/usr/bin/env python3
"""veeam_cve_2023_27532_checker.py — Veeam 硬编码凭据未授权访问检测"""
import argparse
import json
import ssl
import http.client
import sys
KNOWN_VEEAM_ENDPOINTS = [
{"path": "/api/v1/sessions", "method": "GET", "indicator": "sessionId", "desc": "REST API session endpoint"},
{"path": "/api/v1/oauth/token", "method": "POST", "indicator": "access_token", "desc": "OAuth token endpoint"},
{"path": "/v1/token", "method": "POST", "indicator": "token", "desc": "Legacy token endpoint"},
]
def check_veeam_instance(host, port=9401, timeout=5):
results = []
ctx = ssl._create_unverified_context()
for ep in KNOWN_VEEAM_ENDPOINTS:
try:
if port in (443, 8443, 9401):
conn = http.client.HTTPSConnection(host, port, timeout=timeout, context=ctx)
else:
conn = http.client.HTTPConnection(host, port, timeout=timeout)
headers = {"Content-Type": "application/json"}
conn.request(ep["method"], ep["path"], headers=headers)
resp = conn.getresponse()
status = resp.status
body = resp.read(2048).decode("utf-8", errors="ignore")
is_vulnerable = status == 200 and ep["indicator"].lower() in body.lower()
results.append({
"host": host,
"port": port,
"endpoint": ep["path"],
"method": ep["method"],
"status_code": status,
"indicator_found": is_vulnerable,
"description": ep["desc"],
"response_snippet": body[:300],
})
conn.close()
except Exception as e:
results.append({
"host": host,
"port": port,
"endpoint": ep["path"],
"error": str(e),
})
return results
def assess_risk(results):
vulnerable_count = sum(1 for r in results if r.get("indicator_found"))
if vulnerable_count > 0:
return "CRITICAL", "Veeam management API accessible without authentication — CVE-2023-27532 likely exploitable"
reachable = sum(1 for r in results if r.get("status_code") and r["status_code"] in (401, 403))
if reachable > 0:
return "HIGH", "Veeam API reachable but requires authentication — verify patch level"
return "INFO", "Veeam API not reachable or not responding as expected"
def main():
parser = argparse.ArgumentParser(description="Veeam CVE-2023-27532 Checker")
parser.add_argument("hosts", nargs="+", help="Target host(s)")
parser.add_argument("--port", type=int, default=9401, help="Veeam API port (default: 9401)")
parser.add_argument("--timeout", type=int, default=5)
parser.add_argument("--output", help="Output JSON file")
args = parser.parse_args()
all_results = []
for host in args.hosts:
print(f"[*] Checking {host}:{args.port} ...")
results = check_veeam_instance(host, args.port, args.timeout)
risk_level, risk_msg = assess_risk(results)
print(f" [{risk_level}] {risk_msg}")
for r in results:
if r.get("indicator_found"):
print(f" -> Indicator '{r.get('endpoint')}' returned 200 with session data")
all_results.extend(results)
if args.output:
with open(args.output, "w") as f:
json.dump(all_results, f, indent=2, ensure_ascii=False)
print(f"\n[+] Results saved to {args.output}")
if __name__ == "__main__":
main()
使用示例:
python3 veeam_cve_2023_27532_checker.py 10.0.0.5 --port 9401 --output veeam_check.json
python3 veeam_cve_2023_27532_checker.py 10.0.0.5 10.0.0.12 10.0.0.20
3. 备份系统日志异常分析
解析 Veeam / Commvault / NetBackup 核心日志,自动识别备份作业异常禁用、凭据异常读取、非工作时间管理访问等高风险事件。
#!/usr/bin/env python3
"""backup_log_analyzer.py — 备份系统日志异常分析"""
import re
import argparse
import json
from datetime import datetime
from collections import defaultdict
SUSPICIOUS_PATTERNS = {
"backup_job_disabled": {
"pattern": re.compile(r"(?:disable|stop|suspend|remove|delete).*(?:backup|job|task|policy|protection)", re.I),
"severity": "CRITICAL",
"description": "Backup job or protection policy was disabled/removed",
},
"backup_deleted": {
"pattern": re.compile(r"(?:delete|remove|purge|overwrite|destroy).*(?:backup|snapshot|restore point|replica|copy)", re.I),
"severity": "CRITICAL",
"description": "Backup data / restore point was deleted or overwritten",
},
"credential_access": {
"pattern": re.compile(r"(?:read|extract|export|decrypt|retrieve).*(?:credential|password|key|secret|token|certificate)", re.I),
"severity": "CRITICAL",
"description": "Credential or secret read/extract operation detected",
},
"admin_login_offhours": {
"pattern": re.compile(r"(?:login|logon|authenticated|session started).*(?:admin|root|system|operator)", re.I),
"severity": "HIGH",
"description": "Administrative login detected — verify time and source",
},
"new_agent_registered": {
"pattern": re.compile(r"(?:register|add|install).*(?:agent|proxy|gateway|node)", re.I),
"severity": "HIGH",
"description": "New backup agent or proxy registered — potential lateral movement",
},
"retention_changed": {
"pattern": re.compile(r"(?:modify|change|update|set).*(?:retention|preserve|immutable|protection period)", re.I),
"severity": "HIGH",
"description": "Backup retention or immutability policy was modified",
},
"config_export": {
"pattern": re.compile(r"(?:export|download|dump).*(?:config|database|catalog|inventory)", re.I),
"severity": "MEDIUM",
"description": "Configuration or catalog export detected",
},
"service_stopped": {
"pattern": re.compile(r"(?:stop|kill|terminate).*(?:service|daemon|process|veeam|commvault|netbackup)", re.I),
"severity": "HIGH",
"description": "Backup service was stopped or terminated",
},
}
OFF_HOURS_START = 22
OFF_HOURS_END = 6
def parse_log_line(line, source_file=""):
findings = []
line = line.strip()
if not line:
return findings
timestamp = None
ts_match = re.match(r"(\d{4}[-/]\d{2}[-/]\d{2}[\sT]\d{2}:\d{2}:\d{2})", line)
if ts_match:
try:
timestamp = datetime.fromisoformat(ts_match.group(1).replace("T", " "))
except ValueError:
pass
for key, rule in SUSPICIOUS_PATTERNS.items():
if rule["pattern"].search(line):
is_offhours = False
if timestamp and (timestamp.hour >= OFF_HOURS_START or timestamp.hour < OFF_HOURS_END):
is_offhours = True
findings.append({
"rule": key,
"severity": rule["severity"],
"description": rule["description"],
"timestamp": timestamp.isoformat() if timestamp else None,
"off_hours": is_offhours,
"raw_line": line[:500],
"source": source_file,
})
return findings
def analyze_log_file(filepath):
findings = []
try:
with open(filepath, "r", errors="ignore") as f:
for line_no, line in enumerate(f, 1):
for finding in parse_log_line(line, filepath):
finding["line_number"] = line_no
findings.append(finding)
except Exception as e:
print(f"[!] Error reading {filepath}: {e}")
return findings
def generate_summary(findings):
summary = defaultdict(int)
severity_count = defaultdict(int)
for f in findings:
summary[f["rule"]] += 1
severity_count[f["severity"]] += 1
return dict(summary), dict(severity_count)
def main():
parser = argparse.ArgumentParser(description="Backup System Log Analyzer")
parser.add_argument("log_files", nargs="+", help="Log file(s) to analyze")
parser.add_argument("--output", help="Output JSON report file")
parser.add_argument("--severity", choices=["CRITICAL", "HIGH", "MEDIUM"], help="Filter by minimum severity")
args = parser.parse_args()
severity_order = {"CRITICAL": 3, "HIGH": 2, "MEDIUM": 1}
all_findings = []
for filepath in args.log_files:
print(f"[*] Analyzing {filepath} ...")
findings = analyze_log_file(filepath)
if args.severity:
min_level = severity_order.get(args.severity, 0)
findings = [f for f in findings if severity_order.get(f["severity"], 0) >= min_level]
print(f" Found {len(findings)} suspicious event(s)")
all_findings.extend(findings)
rule_summary, severity_summary = generate_summary(all_findings)
print(f"\n{'='*60}")
print(f" BACKUP LOG ANALYSIS REPORT")
print(f"{'='*60}")
print(f" Total suspicious events: {len(all_findings)}")
print(f"\n Severity breakdown:")
for sev in ["CRITICAL", "HIGH", "MEDIUM"]:
if sev in severity_summary:
print(f" {sev}: {severity_summary[sev]}")
print(f"\n Rule breakdown:")
for rule, count in sorted(rule_summary.items(), key=lambda x: -x[1]):
print(f" {rule}: {count}")
offhours = [f for f in all_findings if f.get("off_hours")]
if offhours:
print(f"\n [!] {len(offhours)} event(s) occurred during off-hours (22:00-06:00)")
critical = [f for f in all_findings if f["severity"] == "CRITICAL"]
if critical:
print(f"\n Top CRITICAL events:")
for c in critical[:10]:
ts = c.get("timestamp", "N/A")
print(f" [{ts}] {c['description']}")
print(f" -> {c['raw_line'][:120]}")
if args.output:
report = {
"total_findings": len(all_findings),
"severity_summary": severity_summary,
"rule_summary": rule_summary,
"off_hours_count": len(offhours),
"findings": all_findings,
}
with open(args.output, "w") as f:
json.dump(report, f, indent=2, ensure_ascii=False)
print(f"\n[+] Full report saved to {args.output}")
if __name__ == "__main__":
main()
使用示例:
python3 backup_log_analyzer.py /var/log/veeam/veeam_backup.log --output report.json
python3 backup_log_analyzer.py veeam.log commvault.log --severity CRITICAL
4. 备份完整性快速校验
对备份文件(Veeam .vib / .vbk、Commvault 备份集、标准 .sql / .dump 导出)执行完整性快速校验,检测文件是否被篡改或损坏。
#!/usr/bin/env python3
"""backup_integrity_checker.py — 备份文件完整性快速校验"""
import os
import hashlib
import json
import argparse
import struct
from datetime import datetime
VEEAM_VBK_MAGIC = b"\x40\x12\x63\x76"
SQL_DUMP_SIGNATURES = [
b"-- MySQL dump",
b"-- PostgreSQL database dump",
b"-- MariaDB dump",
b"CREATE TABLE",
b"INSERT INTO",
]
def file_hash(filepath, algorithm="sha256", chunk_size=65536):
h = hashlib.new(algorithm)
try:
with open(filepath, "rb") as f:
while True:
chunk = f.read(chunk_size)
if not chunk:
break
h.update(chunk)
return h.hexdigest()
except Exception as e:
return f"ERROR: {e}"
def check_file_integrity(filepath):
result = {
"file": filepath,
"exists": False,
"size": 0,
"modified": None,
"created": None,
"hash_sha256": None,
"hash_md5": None,
"file_type": "unknown",
"anomalies": [],
}
if not os.path.exists(filepath):
result["anomalies"].append("File does not exist")
return result
stat = os.stat(filepath)
result["exists"] = True
result["size"] = stat.st_size
result["modified"] = datetime.fromtimestamp(stat.st_mtime).isoformat()
result["created"] = datetime.fromtimestamp(stat.st_ctime).isoformat()
result["hash_sha256"] = file_hash(filepath, "sha256")
result["hash_md5"] = file_hash(filepath, "md5")
ext = os.path.splitext(filepath)[1].lower()
result["file_type"] = ext
if result["size"] == 0:
result["anomalies"].append("File is empty (0 bytes) — possible data wipe")
if ext in (".vbk", ".vib", ".vrb") and result["size"] > 0:
try:
with open(filepath, "rb") as f:
header = f.read(4)
if header != VEEAM_VBK_MAGIC:
result["anomalies"].append(f"Veeam file header mismatch — expected magic {VEEAM_VBK_MAGIC.hex()}, got {header.hex()} — possible tampering")
except Exception:
pass
if ext in (".sql", ".dump", ".bak"):
try:
with open(filepath, "rb") as f:
head = f.read(4096)
matched = any(sig in head for sig in SQL_DUMP_SIGNATURES)
if not matched and result["size"] > 1024:
result["anomalies"].append("SQL dump file does not contain expected dump signatures — may be corrupted or repurposed")
except Exception:
pass
if ext in (".zip", ".7z", ".rar", ".tar", ".gz"):
if result["size"] < 22:
result["anomalies"].append("Archive file suspiciously small — possibly truncated or placeholder")
return result
def scan_backup_directory(dirpath, extensions=None):
if extensions is None:
extensions = {".vbk", ".vib", ".vrb", ".sql", ".dump", ".csv", ".bak",
".zip", ".7z", ".rar", ".tar", ".gz", ".cab", ".iso"}
results = []
for root, dirs, files in os.walk(dirpath):
for fname in files:
ext = os.path.splitext(fname)[1].lower()
if ext in extensions:
fpath = os.path.join(root, fname)
results.append(check_file_integrity(fpath))
return results
def main():
parser = argparse.ArgumentParser(description="Backup Integrity Checker")
parser.add_argument("paths", nargs="+", help="File(s) or director(ies) to check")
parser.add_argument("--output", help="Output JSON report file")
parser.add_argument("--baseline", help="Baseline JSON file for comparison")
args = parser.parse_args()
all_results = []
for path in args.paths:
if os.path.isdir(path):
print(f"[*] Scanning directory: {path}")
results = scan_backup_directory(path)
all_results.extend(results)
elif os.path.isfile(path):
print(f"[*] Checking file: {path}")
all_results.append(check_file_integrity(path))
else:
print(f"[!] Path not found: {path}")
anomaly_count = 0
for r in all_results:
status = "ANOMALY" if r["anomalies"] else "OK"
if r["anomalies"]:
anomaly_count += len(r["anomalies"])
size_mb = r["size"] / (1024 * 1024) if r["size"] else 0
print(f" [{status}] {r['file']} ({size_mb:.1f} MB, {r['file_type']})")
for a in r["anomalies"]:
print(f" -> {a}")
if args.baseline and os.path.exists(args.baseline):
print(f"\n[*] Comparing against baseline: {args.baseline}")
with open(args.baseline, "r") as f:
baseline = json.load(f)
baseline_map = {b["file"]: b for b in baseline if isinstance(b, dict)}
for r in all_results:
old = baseline_map.get(r["file"])
if old and old.get("hash_sha256") and r.get("hash_sha256"):
if old["hash_sha256"] != r["hash_sha256"]:
print(f" [CHANGED] {r['file']} — hash mismatch since baseline")
print(f" baseline: {old['hash_sha256'][:16]}...")
print(f" current: {r['hash_sha256'][:16]}...")
print(f"\n[+] Check complete: {len(all_results)} file(s), {anomaly_count} anomaly(ies)")
if args.output:
with open(args.output, "w") as f:
json.dump(all_results, f, indent=2, ensure_ascii=False)
print(f"[+] Report saved to {args.output}")
if __name__ == "__main__":
main()
使用示例:
python3 backup_integrity_checker.py /var/backup/ --output integrity_report.json
python3 backup_integrity_checker.py /mnt/backup/veeam/ --baseline previous_scan.json
5. 脚本使用场景汇总
| 脚本 | 适用场景 | 输入 | 输出 |
|---|
backup_port_scanner.py | 内网资产梳理、攻击面评估 | IP / 网段 | JSON 端口与服务清单 |
veeam_cve_2023_27532_checker.py | Veeam 硬编码凭据漏洞快速验证 | 目标 IP + 端口 | 漏洞可利用性评估 |
backup_log_analyzer.py | 应急响应日志分析、异常行为检测 | 日志文件路径 | 分级告警 JSON 报告 |
backup_integrity_checker.py | 备份文件篡改检测、完整性基线比对 | 文件 / 目录路径 | 完整性校验报告 |
0x0C 常见攻击模式与 MITRE ATT&CK 映射
1. 备份系统攻击 MITRE ATT&CK 全景映射
以下将攻击者针对备份基础设施的完整战术链映射到 MITRE ATT&CK 框架,覆盖从初始访问到最终影响的全过程。
| ATT&CK 战术 | 技术编号 | 技术名称 | 备份系统上下文 | 涉及产品 |
|---|
| Initial Access | T1190 | Exploit Public-Facing Application | 利用备份产品 Web API / 管理接口漏洞(如 CVE-2023-27532、CVE-2024-22033) | Veeam、Commvault |
| Initial Access | T1078 | Valid Accounts | 使用钓鱼或泄露的备份管理员凭据登录 | 所有产品 |
| Execution | T1059 | Command and Scripting Interpreter | 通过命令注入漏洞在备份服务器上执行命令(如 CVE-2023-36632、CVE-2024-27348) | Veeam VSPC、Commvault、NetBackup |
| Persistence | T1136 | Create Account | 在备份管理控制台创建新的管理员账号 | 所有产品 |
| Persistence | T1505.003 | Server Software Component: Web Shell | 在备份产品 Web 界面植入 WebShell 维持访问 | 所有产品 |
| Privilege Escalation | T1068 | Exploitation for Privilege Escalation | 利用本地权限提升缺陷获取 SYSTEM/root(如 CVE-2024-34472) | Acronis |
| Credential Access | T1552 | Unsecured Credentials | 从备份数据库中提取硬编码/加密存储的凭据(如 CVE-2024-40766) | Veeam、Commvault |
| Credential Access | T1003 | OS Credential Dumping | 从 AD 快照和系统状态备份中提取域凭据 | 所有产品 |
| Credential Access | T1528 | Steal Application Access Token | 窃取备份系统与云平台集成使用的 API 密钥 | 所有产品 |
| Discovery | T1082 | System Information Discovery | 枚举备份系统拓扑、受保护资产清单、存储配置 | 所有产品 |
| Discovery | T1018 | Remote System Discovery | 通过备份代理发现受保护的虚拟机和主机 | Veeam、Commvault |
| Lateral Movement | T1021 | Remote Services | 使用从备份系统提取的凭据进行横向移动 | 所有产品 |
| Lateral Movement | T1570 | Lateral Tool Transfer | 通过备份管理通道向受保护系统分发工具 | 所有产品 |
| Collection | T1005 | Data from Local System | 从备份数据中收集高价值业务数据 | 所有产品 |
| Collection | T1530 | Data from Cloud Storage Object | 访问云存储中的备份数据 | 所有产品 |
| Impact | T1490 | Inhibit System Recovery | 删除备份副本、禁用备份作业、篡改恢复点 | 所有产品 |
| Impact | T1486 | Data Encrypted for Impact | 在确认备份被摧毁后部署勒索加密 | 所有产品 |
| Impact | T1485 | Data Destruction | 直接删除或覆盖备份存储中的数据 | 所有产品 |
| Defense Evasion | T1070 | Indicator Removal | 清理备份操作日志、删除中间产物 | 所有产品 |
| Exfiltration | T1048 | Exfiltration Over Alternative Protocol | 通过备份系统的云集成通道外传窃取的数据 | 所有产品 |
2. 勒索家族针对备份系统的 TTP 画像
不同勒索家族在攻击备份系统时展现出差异化的战术偏好:
LockBit 3.0
| 阶段 | TTP | 说明 |
|---|
| 定位 | 内网扫描 Veeam 9380/9401 端口 | 优先定位 Veeam 备份服务器 |
| 突破 | 利用 CVE-2023-27532 硬编码凭据 | 无需有效凭据即可获取管理权限 |
| 瘫痪 | 禁用所有备份作业和保护策略 | 通过管理控制台批量操作 |
| 删除 | 覆盖所有不可变备份副本 | 等待保护期过后立即删除 |
| 收割 | 提取 AD 快照中的域管理员凭据 | 用于后续全域横向移动 |
| 加密 | 确认备份全部失效后部署勒索 | 利用"无备份可恢复"施压 |
BlackCat (ALPHV)
| 阶段 | TTP | 说明 |
|---|
| 定位 | 枚举所有备份存储位置(本地 + 云) | 包括 NAS、磁带库、S3 存储桶 |
| 突破 | 凭据收割 + 权限提升 | 从备份数据库提取存储的凭据 |
| 篡改 | 修改备份保留策略,缩短至最短 | 使备份更快过期被清理 |
| 删除 | 删除所有备份副本和恢复点 | 系统性清除 |
| 双重勒索 | 先外传敏感数据,再加密 | 备份系统本身成为数据泄露源 |
Play Ransomware
| 阶段 | TTP | 说明 |
|---|
| 定位 | 通过域控枚举备份基础设施拓扑 | 利用 AD 信息发现备份服务器 |
| 突破 | 钓鱼获取备份管理员凭据 | 针对备份团队定向社工 |
| 收割 | 通过 Veeam 控制台提取全域凭据 | 包括数据库凭据、服务账号 |
| 潜伏 | 不立即删除备份,先维持访问 | 等待最佳时机 |
| 加密 | 在周末 / 假期部署勒索 | 最大化恢复延迟 |
3. 六种常见备份系统攻击模式分类
模式一:硬编码凭据直接接管
攻击入口:已知硬编码凭据(公开披露)
↓
连接备份管理数据库(无需前端认证)
↓
获得完整管理控制台权限
↓
禁用备份 / 删除副本 / 提取凭据
代表漏洞:CVE-2023-27532(Veeam)
危险等级:极高 — 利用门槛最低,影响最大
模式二:命令注入 → RCE → 备份控制
攻击入口:Web API 命令注入点
↓
以备份服务进程权限执行任意命令
↓
获取操作系统级访问
↓
直接操作备份存储 / 修改配置 / 安装后门
代表漏洞:CVE-2023-36632(Veeam VSPC)、CVE-2024-27348(Commvault)、CVE-2021-20286(NetBackup)
危险等级:高 — 需要定位注入点,但一旦成功即获系统权限
模式三:认证绕过 → 管理面板接管
攻击入口:认证中间件逻辑缺陷
↓
构造特殊请求绕过认证检查
↓
以管理员身份访问管理 API
↓
查看所有受保护资产 / 修改策略 / 提取数据
代表漏洞:CVE-2024-22033(Commvault)
危险等级:高 — 无需任何凭据即可获取完整管理权限
模式四:凭据保护机制绕过 → 全域凭据收割
攻击前提:已获得备份服务器本地访问
↓
定位内部加密密钥存储
↓
使用密钥解密备份数据库中的凭据
↓
获取所有受保护系统的管理凭据
↓
全域横向移动
代表漏洞:CVE-2024-40766(Veeam)
危险等级:极高 — 备份系统从"最后一道防线"变成"最大凭据泄露源"
模式五:权限提升 → 代理控制
攻击前提:已获得备份代理所在主机的普通用户访问
↓
利用本地权限提升缺陷获取 SYSTEM/root
↓
以最高权限控制备份代理
↓
通过管理通道影响备份作业和数据
代表漏洞:CVE-2024-34472(Acronis)
危险等级:中高 — 需要前置本地访问,但影响范围可扩展
模式六:信息泄露 → 攻击路径规划
攻击前提:已获得备份系统认证访问
↓
调用存在信息泄露缺陷的 API
↓
获取备份拓扑、受保护资产清单、凭据元数据
↓
基于完整拓扑信息规划后续攻击路径
代表漏洞:CVE-2024-50334(Rubrik)
危险等级:中 — 本身不直接造成破坏,但为后续攻击提供完整地图
4. 攻击模式风险矩阵
| 攻击模式 | 利用门槛 | 影响范围 | 检测难度 | 综合风险 |
|---|
| 硬编码凭据直接接管 | 极低 | 全域 | 中 | 极高 |
| 认证绕过接管 | 低 | 全域 | 中高 | 高 |
| 命令注入 → RCE | 中 | 单服务器 → 全域 | 中 | 高 |
| 凭据保护机制绕过 | 中 | 全域 | 高 | 极高 |
| 权限提升 → 代理控制 | 中高 | 局部 → 全域 | 高 | 中高 |
| 信息泄露 → 路径规划 | 中 | 间接 | 极高 | 中 |
0x0D 加固建议与防御策略
1. 架构层面加固
- 网络隔离:备份管理接口应部署在独立管理 VLAN 中,严格限制可达范围
- 零信任访问:对备份管理控制台实施多因素认证和基于角色的访问控制
- 不可变存储:启用并严格配置不可变备份存储,确保即使管理员也无法在保护期内删除数据
- 离线备份:至少维护一份完全离线的备份副本(磁带或气隙存储)
- 最小权限:备份代理仅授予完成备份任务所需的最小权限
2. 凭据安全加固
- 消除硬编码:审计所有备份产品配置,消除硬编码凭据
- 凭据轮换:定期轮换备份系统中存储的所有凭据
- 加密密钥分离:将凭据加密密钥存储在备份系统之外(HSM / 独立 KMS)
- 审计凭据访问:启用并监控所有凭据读取操作的审计日志
3. 监控与检测
- 备份作业监控:对备份作业的创建、修改、禁用、删除建立实时告警
- 异常登录检测:对备份管理控制台的非工作时间登录、异常来源 IP 建立告警
- 配置变更审计:对备份策略、保留策略、存储配置的所有变更建立审计追踪
- 网络流量基线:建立备份服务器网络流量基线,检测异常数据传输
4. 应急响应准备
- 备份恢复演练:定期进行备份恢复演练,验证备份数据的完整性和可恢复性
- 应急手册:制定备份系统被攻破时的应急响应手册
- 事件分级:将备份系统安全事件定义为最高优先级安全事件
- 供应链安全:确保备份产品的固件更新和补丁来自官方渠道
0x0E 参考资源