在该公司未公开披露问题便静默修补了一个安全漏洞数月后，已发现200多个易受攻击的面向互联网的Nakivo备份和复制实例。

　　近日，watchTowr安全研究人员发布了一份报告，详细阐述了他们在Nakivo中央管理解决方案中发现的一个任意文件读取漏洞。

　　报告指出，如果被利用，该漏洞可能会使攻击者窃取目标Nakivo实例中存储的备份和凭据，并解锁整个基础设施环境。

　　据watchTowr称，该问题影响了Nakivo中央管理HTTP接口Director的10.11.3.86570版本，但警告称尚未检查该软件的早期版本。

　　WatchTowr表示，在2024年9月发现该漏洞（CVE-2024-48248）后，曾多次通过电子邮件尝试向Nakivo披露，但直到10月29日才收到回复。

　　11月4日，研究人员注意到Nakivo在一个新补丁中修复了该漏洞，但没有发布咨询公告公开承认该问题。watchTowr团队已为该漏洞申请了CVE编号。

　　Nakivo在发行说明中未提及该漏洞，这让watchTowr推测它已单独联系了受影响的客户。“如果供应商试图掩盖如此严重的漏洞，并故意给客户带来错误的安全感，我们会感到震惊，”报告解释道。

　　“我们在这里并不是假设或暗示NAKIVO的回应不好——我们当然认为他们根据保密协议联系了所有客户，并鼓励他们悄悄修补，以避免让客户在不知情的情况下处于危险之中。”

　　一些Nakivo客户仍面临风险——请立即修补

　　然而，仍有大量易受攻击的Nakivo实例在线，这表明一些客户尚未更新其系统。

　　2月28日，网络安全非营利组织Shadowserver警告称，扫描结果显示，在Nakivo修补漏洞并可能联系受影响客户三个月后，仍有200多个Nakivo实例易受该问题攻击。

　　Shadowserver敦促所有剩余拥有易受攻击Nakivo实例的客户立即修补，并参考watchTowr的报告。

　　WatchTowr还在GitHub上发布了一个检测工件生成器，可作为非官方的Nakivo客户支持工具，帮助用户评估其Nakivo设备的安全性。

　　为何备份成为黑客的首要目标

　　备份解决方案因其保护关键数据的作用而成为网络犯罪分子的热门目标。

　　WatchTowr注意到了这一事实，并指出备份巨头Veeam频繁出现在CISA的已知漏洞利用（KEV）列表中。

　　然而，它强调，透明、及时地通报安全漏洞至关重要，以便帮助客户在攻击者利用漏洞之前尽快减轻风险。

　　“我们一再表示，无论以何种形式，漏洞都是生活中不可避免的事实，而供应商对漏洞的响应比漏洞本身的存在更为重要。”

　　ITPro就CVE-2024048248事件与Nakivo的客户沟通情况进行了询问，但未收到回复。