【最新漏洞预警】CVE-2022-26500/26501/26503 全球顶级数据保护引领者Veeam多个产品RCE漏洞分析

Veeam是全球数据保护领域的引领者。简单、灵活、可靠的云端、虚拟、物理备份和恢复解决方案的值得信赖的提供商。

近日Veeam官方发布Veeam Backup&Replication、Veeam Agent for Microsoft Windows等产品存在远程命令执行漏洞，编号分别为CVE-2022-26501、CVE-2022-26500和CVE-2022-26503：

本文将深入分析其中的Veeam Backup&Replication CVE-2022-26500/26501组合RCE漏洞，以及Veeam Agent for Microsoft Windows CVE-2022-26503漏洞：

• CVE-2022-26500/26501，Veeam 分发服务（默认为 TCP 9380）允许未经身份验证的用户访问内部 API 函数。远程攻击者可能会向内部 API 发送输入，这可能导致恶意代码的上传和执行（组合认证绕过、文件复制和ViewState反序列化实现RCE）；

• CVE-2022-26503，Veeam Agent for Microsoft Windows 使用 Microsoft .NET 数据序列化机制。影响版本：< 5 (build 5.0.3.4708)< 4 (build 4.0.2.2208)本地用户可能会向 Veeam Agent for Windows Service 开放的网络端口（默认为 TCP 9395）发送恶意代码，导致无法正确反序列化（.NET Remoting反序列化漏洞）。

注册Veeam官方账号，登录后点击`Request Trial Key`试用。

0x01 安装Enterprise Manager和backup

下载相关产品进行安装：

安装可以参考：

安装教程

https://helpcenter.veeam.com/docs/backup/vsphere/install_vbr.html?ver=110

0x02 安装Veeam Agent for Microsoft Windows

下载漏洞版本（这里选择v5.0.2.4680）进行安装：

根据CVE信息，漏洞出现在Veeam 分发服务（9380端口）,经过调试发现利用链实际为一个不同端口的组合漏洞：首先是9380端口认证绕过导致服务器任意文件复制，然后是使用9443端口WebForm服务固定的`machinekey`实现远程命令执行。

0x01 认证绕过

`9380`端口由`Veeam.Backup.Agent.Config`启动：

exe文件是`Veeam.Backup.Agent.ConfigurationService.exe`，定位`Main`主函数：

启动`Service`服务，进入：

绑定了`9380`和`9381`两个端口，`9380`端口号从注册表中读取：

`CInvokerServer`中包含用户认证代码：

`Athenticate`函数位于`CForeignInvokerNegotiateAuthenticator`：

使用空用户名和密码可以绕过检查：

0x02 文件上传

关键函数位于`CInvokerServer.ExecThreadProc`，主要执行过程如下：

首先通过`ReadCompressedString`读取请求内容， 执行`CForeignInvokerParams.GetContext`将请求转化为`Context`，利用`CSpecDeserializationContext`进行转化：

通过`GetOrCreateExecutor`获取到Executor：

最终执行`Execute`函数，执行方式有`CInvokerServerRetryExecuter`、`CInvokerServerSyncExecuter`和`CInvokerServerAsyncExecuter`，他们都实现了`IInvokerServerExecuter`接口：

在`CInvokerServerSyncExecuter`中执行同步操作：

`_spectExecutor`包含三个实现：

`Veeam.Backup.EpAgent.ConfigurationService.CEpAgentConfigurationServiceExecuter`代码中注意到有三个文件上传操作：

`EConfigurationServiceMethod.UploadManagerPerformUpload`分支中，处理函数支持上传Windows补丁、Windows安装包和Linux安装包：

继续看`UploadWindowsPackage`函数，调用了`UploadFile`：

在上传前提取了`Host`和`FileRelativePath`，如果把`host`设置为`127.0.0.1`则能够将文件上传到本地。

0x03 任意文件复制

在认证绕过代码基础上，首先参考`CSpecDeserializationContext`函数：

Veeam.Backup.Common.CInputXmlData FIData = new Veeam.Backup.Common.CInputXmlData("FIData");Veeam.Backup.Common.CInputXmlData FISpec = new Veeam.Backup.Common.CInputXmlData("FISpec");

编写测试代码，执行后服务器将调用`CInvokerServerSyncExecuter.Execute`函数：

程序异常退出，原因是`GetSpec`获取内容出错：

调试代码，紧接着执行`Unserial`，功能主要是根据`Scope`的值调用`XXX.Unserial`：

`GetScope`中读取`FIScope`,`DistributionService`的值为190：

跟进`CInvokerDistributionBaseSpec.Unserial`，读取`FIMethod`作为执行方法：

`EConfigurationServiceMethod`中列出了支持的方法：

接下来添加代码，执行到`CEpAgentConfigurationServiceExecuter`，同样在`GetSpec`函数中出错：

继续动态调试分析，在`CConfigurationServiceBaseSpec.unserial`函数中执行`CConfigurationServiceUploadManagerPerformUpload.Unserial`，文件上传所需参数如下：

最终构造出完整代码，成功写入文件：

0x04 ViewState反序列化

通过前边几个步骤，目前能够复制文件，如何实现命令执行呢？查看IIS开放了`9080`和`6443`端口：

`9080/9443`端口WEB主目录`web.config`文件包含固定的`machineKey`，可以使用ViewState反序列化实现远程RCE：

修改载荷拷贝`web.config`并远程访问，访问`9080`URL会自动跳转到9443端口：

使用`ysoserial.exe`生成payload发送，成功弹出计算器：

根据描述，Veeam Windows客户端使用.NET反序列化机制，用户可以通过9395端口发送反序列化数据实现命令执行。

0x01 .NET Remoting机制分析

9395端口由`Veeam.Endpoint.Service.exe`启动：

找到`Main`入口函数：

以服务形式启动，进入`RunAsService`函数：

实例化`EndPointService`对象，然后通过`OnStart`启动：

首先通过`Initialize`完成初始化：

进入`CSrvTcpChannelRegistration`：

binaryServerFormatterSinkProvider.TypeFilterLevel = TypeFilterLevel.Full;

存在.NET Remoting反序列化漏洞的风险。我们回到`OnStart`函数：

vbServer = this._disposableObjects.Add<CEndPointServiceImpl>(new CEndPointServiceImpl(this._environment.Options, this._terminator, externalEventHelper));

添加一个`CEndPointServiceImpl`服务，进入类`CEndPointServiceImpl`：

进入`CEpRemotingAPIRegistration.RegisterRemotingTypes`：

在`CEndpointServiceStub`中注册`VeeamService`服务，且使用`RemotingConfiguration.rigisterWellKnownServiceType`注册`.NET Remoting`服务：

注意到`Veeam.Endpoint.Tray.exe`与`VeeamService`进行了通信：

`Veeam.Endpoint.Tray.exe`加载`Veem.Common.Remoting.dll`：

注册`TcpClientChannel`，且选项为`Secure=True`，比较通用的服务：

0x02 .NET Remoting反序列化

回顾前面分析，.Net Remoting服务将`TypeFilterLevel`设置为`TypeFilterLevel.Full`，可以触发反序列化漏洞。服务名称为`VeeamService`，端口为9395。

使用ysosera.net生成反序列化载荷，结合空用户名和密码进行绕过，通过.NET Remoting发送工具最终可以实现RCE：

0x01 CVE-2022-26500/26501

在认证处理上，改为利用`CInvokerAdminNegotiateAuthenticator`类来处理：

判断是否为管理员用户。同时在处理文件上传的地方，`CEpAgentConfigurationServiceExecuter`类增加了上传文件名检查：

0x02 CVE-2022-26503

`CSrvTcpChannelRegistration`类删除了`TypeFilterLevel.Full`设置：

由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害，均由使用本人负责，且听安全团队及文章作者不为此承担任何责任。

点关注，不迷路！

关注公众号回复“漏洞”获取研究环境

原文始发于微信公众号（且听安全）：【最新漏洞预警】CVE-2022-26500/26501/26503 全球顶级数据保护引领者Veeam多个产品RCE漏洞分析