基本情况

Veeam Backup & Replication是一款功能强大的数据备份与恢复软件，它不仅可以保护虚拟化环境，还提供了跨平台的备份支持，为企业提供强大的数据保护功能，包括快速备份、即时恢复、灾难恢复和复制等功能，旨在确保数据的高可用性和业务的持续性。

漏洞描述

Veeam Backup & Replication中修复了一个反序列化远程代码执行漏洞（CVE-2024-40711），其CVSS评分为9.8，目前该漏洞的技术细节及PoC已在互联网上公开，且已发现被利用。

Veeam Backup & Replication中存在反序列化漏洞和授权不当问题，CDbCryptoKeyInfo类（白名单可序列化类，可通过.NET Remoting反序列化访问）的反序列化过程中将二次调用 CProxyBinaryFormatter.Deserialize 方法（使用黑名单模式而不是之前的白名单模式），由于黑名单中对ObjRef类限制不当，以及IsConnectingIdentityAuthorized方法允许匿名连接，导致未经身份验证的攻击者可通过构造特定的序列化数据在反序列化时触发远程对象的调用，从而导致代码执行。

影响范围

Veeam Backup & Replication < 12.2.0.334

注：官方已在Veeam Backup & Replication 12.2.0.334中完全修复该漏洞，Veeam Backup & Replication 12.1.2.172补丁版本中该漏洞可导致经过身份验证的RCE；Veeam Backup & Replication <= 12.1.1.56中该漏洞可导致未经身份验证的RCE。

修复建议

目前该漏洞已经修复，受影响用户可升级到以下版本：

Veeam Backup & Replication >= 12.2.0.334

软件下载可以参考 《Veeam Backup & Replication v12.2.0.334》

版本升级

执行安装程序，点击升级

选择升级版本

出现告警

停止所有相关服务

重新发起更新

同意条款

升级预览

是否自动更新许可证

系统配置检查

检查完成，需要重启系统继续

完成重启后，再次执行升级选项，保持之前一致。

选择服务账户

数据库

数据库是否升级？

检查配置

准备开始升级

升级进行中，需耐心等待完成。

升级成功

检查核对