关键缺陷暴露ArcServe备份远程代码执行

最近由MDSec ActiveBreach红队进行的对手模拟发现了ArcServe UDP备份软件中的一个关键漏洞。

跟踪CVE-2023-26258，该漏洞影响7.0到9.0版本的软件，并允许远程代码执行(RCE)，对依赖该软件作为备份基础设施的组织构成重大风险。

Bugcrowd安全运营高级总监迈克尔•斯凯尔顿(Michael Skelton)表示:“确保备份系统安全的重要性怎么强调都不为过。它应该被视为与其支持的运营生产系统同等重要，甚至更重要。”

根据安全专家的说法，一旦发生安全漏洞，这些备份系统可能会被专门针对破坏，从而导致生产系统无法使用。

斯凯尔顿补充说:“这种妥协的情况可能会使任何形式的数据恢复和系统重建都无法实现。”

在MDSec模拟过程中，安全分析师Juan Manuel Fernandez和Sean Doherty发现了一个允许访问软件管理界面的身份验证绕过漏洞。

通过拦截和修改特定的HTTP请求，攻击者可以将软件重定向到他们控制下的HTTP服务器，从而授予未经授权的访问权限。

一旦进入，红队发现了额外的技术来提取敏感信息，包括管理员密码。利用该漏洞和随后的密码检索突出了对安全补丁的迫切需要。

Conversant Group首席技术官Brandon Williams表示:“如果你的数据保护解决方案架构合理，那么你的备份最终会受到多个身份源的保护。”

理想情况下，备份策略应该防止访问，但也要提供不变性、冗余、可恢复性和弹性，多层安全控制。

据报道，MDSec团队于2月2日向ArcServe披露了该漏洞，经过漫长的过程，于2023年6月27日发布了补丁，解决了这个问题。然而，人们对安全研究人员缺乏适当的信用表示担忧。

强烈建议用户将ArcServe UDP备份软件更新到最新版本，以降低被利用的风险。