Acronis
資料保護軟體與服務廠商Acronis,於9月16日發布旗下Acronis Backup備份軟體Plug-in程式的更新通報,提醒用戶盡速更新軟體,以修補其中含有的重大資安漏洞CVE-2024-8767。
CVE-2024-8767是Acronis評為嚴重性9.9分(滿分10分)的重大漏洞,問題出在Plug-in程式的權限設定不當,可能會讓受影響的伺服器發生敏感資訊外洩的狀況,並讓攻擊者執行未授權的操作。
受這個漏洞影響的Acronis Backup備份Plug-in程式,包括搭配cPanel & WHM、Plesk與DirectAdmin等3款Linux平臺主機與網站管理工具的Plug-in程式,這些Plug-in程式的用途是將前述管理工具的資料,備份到Acronis Backup環境中。Acronis建議將搭配cPanel & WHM與Plesk的Plug-in程式,分別更新到1.8.0版,而搭配DirectAdmin的Plug-in則更新到1.2.0版。
事實上,Acronis早在2023年5到6月間,就已發布前述Plug-in程式的修補版本,但時隔1年後,該公司發現許多受影響的用戶端系統仍未更新,導致這些系統暴露在攻擊風險中,因而日前再次發布通報,提醒用戶盡速更新。
除了Acronis,稍早我們曾報導另一備份軟體大廠Veeam,也揭露類似問題,他們在9月初修補備份軟體的代理程式(Agent)與Plug-in程式高風險漏洞。
這顯示備份軟體除了主程式本身外,搭配不同應用平臺的代理程式與Plug-in,已成為重大資安漏洞的來源之一。
備份代理程式與Plug-in的目的,是將各式各樣應用平臺的備份作業,整合到備份主程式中,以便將這些應用平臺的資料納入備份保護範圍。不過,這些代理程式與Plug-in潛藏的漏洞,也會影響安裝的應用平臺主機,以及備份環境的安全。
然而相對於備份主程式,代理程式與Plug-in受到的關注相對較低,而且類型龐雜,不同應用平臺各自有專屬的代理程式與Plug-in,使得用戶更容易忽略漏洞修補與更新事宜。這次Acronis遇到的狀況,便印證這個資安空窗,他們發現,該公司發布修補程式已經過1年之久,目前仍有大量用戶端未進行更新。
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-12-03