Veeam vydal opravy na kritickú bezpečnostnú chybu, ktorá sa týka softvéru Backup & Replication a za určitých podmienok môže viesť k vzdialenému spusteniu kódu (RCE).
Bezpečnostná chyba evidovaná ako CVE-2025-23121 má CVSS skóre 9,9 z 10.
„Ide o zraniteľnosť, ktorá umožňuje vzdialené spustenie kódu (RCE) na zálohovacom serveri prostredníctvom autentifikovaného doménového používateľa,“ uviedla spoločnosť vo svojom bezpečnostnom upozornení.
Zraniteľnosť CVE-2025-23121 sa týka všetkých starších verzií Veeam Backup & Replication verzie 12, vrátane 12.3.1.1139. Bola opravená vo verzii 12.3.2 (build 12.3.2.3617).
Za objavenie a nahlásenie chyby boli ocenení bezpečnostní výskumníci zo spoločností CODE WHITE GmbH a watchTowr.
Spoločnosť zaoberajúca sa kybernetickou bezpečnosťou Rapid7 poznamenala, že aktualizácia pravdepodobne rieši obavy, ktoré zdieľala spoločnosť CODE WHITE koncom marca 2025, že oprava nasadená na odstránenie podobnej chyby (CVE-2025-23120, CVSS skóre: 9,9) mohla byť obídená.
Veeam taktiež opravil ďalšiu chybu v tom istom produkte (CVE-2025-24286, CVSS skóre: 7,2), ktorá umožňuje autentifikovanému používateľovi s rolou Backup Operator upravovať zálohovacie úlohy, čo by mohlo viesť k spusteniu ľubovoľného kódu.
Americká spoločnosť samostatne opravila zraniteľnosť, ktorá ovplyvňovala Veeam Agent for Microsoft Windows (CVE-2025-24287, CVSS skóre: 6,1), ktorá umožňuje lokálnym používateľom systému upravovať obsah adresárov, čo vedie k spusteniu kódu so zvýšenými oprávneniami. Problém bol opravený vo verzii 6.3.2 (build 6.3.2.1205).
Podľa Rapid7 viac ako 20 % jej incident response prípadov v roku 2024 zahŕňalo buď prístup k Veeam alebo jeho zneužitie, keď už útočník získal prístup do cieľového prostredia.
Keďže sa bezpečnostné chyby v zálohovacom softvéri Veeam v posledných rokoch stali hlavným cieľom útočníkov, je kľúčové, aby zákazníci okamžite aktualizovali na najnovšiu verziu softvéru.
Viac informácií nájdete tu: