Veeam 安全危机：一年三爆关键 RCE 漏洞

近日，备份软件领域的巨头 Veeam 再次被推到了安全问题的风口浪尖。该公司紧急呼吁使用其备份和复制（Backup & Replication，简称 B&R）软件的用户，务必尽快应用最新发布的补丁程序，以修复一个可能导致备份服务器遭受远程代码执行（RCE）攻击的关键漏洞。这已经是过去一年内，Veeam 在该软件中修补的第三个关键 RCE 漏洞了，如此频繁的安全漏洞问题，无疑给用户的数据安全带来了巨大的隐患。

此次被披露的漏洞被追踪为 CVE-2025-23121，其 CVSS v3 评分高达 9.9，属于极其严重的安全漏洞。值得注意的是，该漏洞仅影响加入域的备份服务器。Veeam 官方文档其实早已明确建议用户不要将备份服务器加入到域中，但从实际情况来看，很多用户似乎并未重视这一建议。早在今年 3 月，就曾出现过类似的 B&R RCE 漏洞（CVE-2025-23120），当时就很少有用户意识到服务器加入域可能带来的安全风险。

前一个漏洞 CVE-2025-23120 的严重性同样接近最高级别，CVSS v3 评分也为 9.9，同样主要影响加入域的服务器。虽然 Veeam 官方并未明确说明这两个漏洞的根本原因是否相同，但 watchTowr 的研究人员在与 CodeWhite 合作发现 CVE-2025-23121 后，推测情况可能如此。

Veeam 公司向相关登记簿透露，在报告了导致 3 月 19 日披露 CVE-2025-23120 的问题后，他们进行了深入调查，随后发现了几个额外的错误，而此次披露的 CVE-2025-23121 漏洞正是这些发现的成果之一。

回顾过往，CVE-2025-23120 以及更早的 CVE-2024-40711（CVSS v3 评分 9.8），都是基于 BinaryFormatter 组件的不受控制的反序列化漏洞。BinaryFormatter 是一个存在严重问题且已被微软明确否决的组件，微软曾多次强调，不能信任它来反序列化数据，更不能依赖它来确保系统的安全性。然而，令人惊讶的是，这个组件至今仍然在 Veeam 的 B&R 软件中使用，并且持续成为供应商面临的安全隐患。安全研究人员指出，这正是 CVE-2025-23120 和 CVE-2024-40711 漏洞产生的根源。

Veeam 首席产品官 Anton Gostev 曾表示，公司针对这些漏洞的解决方案“实际上非常接近完美”。他还在 Veeam 论坛上透露，公司已经投入数年时间来开发针对二进制格式化程序错误的解决方案。但 watchTowr 的 Piotr Bazydlo 今年早些时候就指出，Veeam 的解决方案是维护一个可能导致反序列化问题的小工具的排除/阻止列表，然而这种方法本质上总是比攻击者落后一步。