数据保护软件与服务厂商Acronis,于9月16日发布旗下Acronis Backup备份软件Plug-in程序的更新通报,提醒用户尽快更新软件,以修补其中含有的重大安全漏洞CVE-2024-8767。
CVE-2024-8767是Acronis评为严重性9.9分(满分10分)的重大漏洞,问题出在Plug-in程序的权限设置不当,可能会让受影响的服务器发生敏感资讯外流的状况,并让攻击者执行未授权的操作。
受这个漏洞影响的Acronis Backup备份Plug-in程序,包括搭配cPanel & WHM、Plesk与DirectAdmin等3款Linux平台主机与网站管理工具的Plug-in程序,这些Plug-in程序的用途是将前述管理工具的数据,备份到Acronis Backup环境中。Acronis建议将搭配cPanel & WHM与Plesk的Plug-in程序,分别更新到1.8.0版,而搭配DirectAdmin的Plug-in则更新到1.2.0版。
事实上,Acronis早在2023年5到6月间,就已发布前述Plug-in程序的修补版本,但时隔1年后,该公司发现许多受影响的用户端系统仍未更新,导致这些系统暴露在攻击风险中,因而日前再次发布通报,提醒用户尽快更新。
除了Acronis,稍早我们曾报道另一备份软件大厂Veeam,也披露类似问题,他们在9月初修补备份软件的代理程序(Agent)与Plug-in程序高风险漏洞。
这显示备份软件除了主程序本身外,搭配不同应用平台的代理程序与Plug-in,已成为重大安全漏洞的来源之一。
备份代理程序与Plug-in的目的,是将各式各样应用平台的备份作业,集成到备份主程序中,以便将这些应用平台的数据纳入备份保护范围。不过,这些代理程序与Plug-in潜藏的漏洞,也会影响安装的应用平台主机,以及备份环境的安全。
然而相对于备份主程序,代理程序与Plug-in受到的关注相对较低,而且类型庞杂,不同应用平台各自有专属的代理程序与Plug-in,使得用户更容易忽略漏洞修补与更新事宜。这次Acronis遇到的状况,便印证这个安全空窗,他们发现,该公司发布修补程序已经过1年之久,目前仍有大量用户端未进行更新。
