Уязвимости ssleay32.dll в Veeam Backup & Replication

Очень давно я не писал в этом разделе, так как очень долго не соприкасался напрямую с резервным копированием с помощью продукта Veeam Backup & Replication. Veeam крутой комбайн для служб резервного копирования, особенно для виртуализации, но и он не лишен подводных камней, один из которых связан с библиотекой ssleay32.dll. В данной заметке я рассмотрю, что это за библиотека, на сколько она нужна, как ее патчить, да и в целом жизненный компромиссный подход по ее использованию.

🔍Назначение библиотеки ssleay32.dll

Библиотека ssleay32.dll в каталоге Veeam — это компонент VMware VDDK, который обеспечивает безопасное SSL-соединение между компонентами Veeam и виртуальной инфраструктурой VMware vSphere при создании резервных копий.

Основная задача этой библиотеки в контексте Veeam это шифрование канала связи между сервером резервного копирования (или прокси) и серверами VMware vSphere (ESXi, vCenter). Без нее было бы невозможно установить доверенное и безопасное соединение, необходимое для доступа к данным виртуальных машин.

Процесс выглядит следующим образом:

1. Когда Veeam инициирует задание резервного копирования, оно подключается к VMware vSphere через защищенное SSL/TLS-соединение.

2. Для установки этого соединения используется библиотека ssleay32.dll, которая является частью VMware Virtual Disk Development Kit (VDDK).

3. После установки безопасного канала Veeam получает доступ к хранилищам данных vSphere и может считывать данные виртуальных дисков для создания резервных копий.

⚠️Проблема уязвимости ssleay32.dll

Как и в случаях с продуктами Dell, Java и другими Vmware не успевает следить за безопасностью данной библиотеки, что выливается в сотни уязвимостей даже в самых современных версиях Veeam Backup & Replication. Например, небольшой список:

CVE-2014-0221, CVE-2014-3470, CVE-2010-2939, CVE-2014-0076, CVE-2014-3505, CVE-2014-3508, CVE-2014-3507, CVE-2014-3506, CVE-2014-3510, CVE-2014-3566, CVE-2014-3569, CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791, CVE-2015-1792, CVE-2015-3195

Обратите внимание, что все они аж с бородатых 2014 годов.

• Файл ssleay32.dll не разработан Veeam. Он поставляется в составе пакета VMware VDDK и обновляется Veeam только тогда, когда VMware выпускает обновленную версию VDDK. Когда это когда Бог его знает.
• В дистрибутивах Veeam 100% будут присутствовать устаревшие версии этой библиотеки, в которых обнаружены уязвимости безопасности. В моем примере это версия ssleay32.dll 0.9.8.25.

Важно отметить, что устаревшие версии библиотек используются Veeam для обеспечения совместимости со старыми, уже снятыми с поддержки версиями VMware vSphere (например, 6.x). Если вы не используете такие устаревшие версии VMware, то эти конкретные версии DLL-библиотек не будут задействованы в работе

💡 Как устранять уязвимость в библиотеке ssleay32.dll

Если у вас не самые современные версии ESXI или vSphere, например 7 и ниже, то вам придется оставить данную библиотеку, единственное придется следить за обновлениями, чтобы своевременно их устанавливать. НО там она так же не будет самой свежей.

https://www.veeam.com/knowledge-base.html - тут можно следить за релизами

Если же у вас гипервизоры свежие, то все проще.

Удаляем ssleay32.dll и забываем как страшный сон

ssleay32.dll чаще всего используется на агентах Veeam Agent for Microsoft Windows в системе по путям:

• C:\Program Files (x86)\Veeam\Backup Transport\GuestInteraction\VSS\ssleay32.dll
• C:\Program Files (x86)\Veeam\Backup Transport\x64\vix\ssleay32.dll
• C:\Program Files (x86)\Veeam\Backup Transport\x86\vix\ssleay32.dll

Раз в моей инфраструктуре нет продуктов ESXi 6.x, то я смело могу удалять данную библиотеку на конечных серверах, где используется Veeam Agent for Microsoft Windows.

Совместно с моими замечательными коллегами из СРК, были проведены тесты по созданию и восстановлению резервной копии, где используется Veeam Agent for Microsoft Windows, при удаленной ssleay32.dll в трех каталогах.

Но важно помнить, что на самих серверах Veeam Backup & Replication и прокси серверах удалять библиотеку ssleay32.dll НЕЛЬЗЯ, иначе все сломается.

Так же важно помнить, что если обновится Veeam Backup & Replication, то придется обновлять и Veeam Agent for Microsoft Windows, а так как ssleay32.dll является частью двоичного MSI-пакета Transport, библиотека будет восстановлена. В некоторых случаях если обновление не получилось, можно удалить старый пакет агента и заново его переустановить. Главное не забудьте удалить снова ssleay32.dll.

В результате этих испытаний и тестов, полученные результаты позволили не сломать процесс резервного копирования и восстановления данных, а еще устранить свыше тысячи старый, но критичных уязвимостей. Приведу пример в рамках только одного сервера. Было 223 уязвимости, стало 62. Оставшиеся уязвимости это патчи, которые будут закрыты кумулятивным, месячным пакетом в свой слот сервисного обслуживания.

Обратите внимание, что на сервере теперь сразу не стало критический уязвимостей, они были отмечены голубым цветом.

Читайте так же - Примеры устранения уязвимостей в VMware Tools

Дополнительные ссылки

• https://forums.veeam.com/vmware-vsphere-f24/ssleay32-dll-0-9-8t-security-vulnerability-t91234.html
• https://forums.veeam.com/veeam-backup-replication-f2/old-ssl-libraries-t80508.html

Эта борьба с уязвимостями долгая, изматывающая, но интересная. К полной победе сделан еще плюс один шаг. Надеюсь, что данная информация оказалась полезной, с вами был Иван Сёмин, автор и создатель этого интересного блога, до скорых встреч.