Veeam brengt beveiligingsupdates uit om meerdere kwetsbaarheden in Veeam Backup & Replication (VBR) op te lossen, waaronder een kritieke kwetsbaarheid die remote code execution (RCE) mogelijk maakt.
Beveiligingsonderzoekers van watchTowr en CodeWhite meldden de kwetsbaarheid, CVE-2025-23121. De kwetsbaarheid heeft alleen invloed op installaties die aan een domein zijn gekoppeld.
Zoals Veeam dinsdag in een beveiligingsadvies uitlegde, kunnen geauthenticeerde domeingebruikers misbruik maken van deze kwetsbaarheid door middel van aanvallen met een lage complexiteit om op afstand code uit te voeren op de back-upserver. Deze fout treft Veeam Backup & Replication versie 12 of hoger. Veeam loste het probleem inmiddels op in versie 12.3.2.3617.
Hoewel CVE-2025-23121 alleen effect heeft op VBR-installaties die aan een domein zijn gekoppeld, kan elke domeingebruiker er misbruik van maken. Dit maakt het bijzonder makkelijk om deze configuraties te misbruiken.
2FA van belang voor bescherming
Veel organisaties koppelen hun back-upservers aan een Windows-domein. Dit ondanks het feit dat Veeam aanraadt om een aparte Active Directory Forest te gebruiken. En om beheerdersaccounts te beschermen met tweefactorauthenticatie.
In maart verhielp Veeam ook al een andere RCE-kwetsbaarheid (CVE-2025-23120) in de Backup & Replication-software. Die trof eveneens domeingekoppelde installaties. Ransomwaregroepen meldden eerder aan BleepingComputer dat zij zich altijd richten op VBR-servers. Dit, omdat deze het eenvoudiger maken om gegevens van slachtoffers te stelen. En om herstelacties te blokkeren door back-ups te verwijderen voordat de ransomware wordt uitgerold binnen netwerken van slachtoffers.
In november gaven incidentresponders van Sophos X-Ops aan dat een andere VBR RCE-kwetsbaarheid (CVE-2024-40711), die in september werd onthuld, inmiddels wordt gebruikt om Frag-ransomware te verspreiden. Diezelfde kwetsbaarheid werd ook gebruikt om remote code execution uit te voeren op kwetsbare Veeam-back-upservers tijdens aanvallen met de Akira- en Fog-ransomware vanaf oktober.
In het verleden is ook vastgesteld dat de Cuba-ransomwaregroep en FIN7 — een financieel gemotiveerde dreigingsactor die samenwerkt met groepen als Conti, REvil, Maze, Egregor en BlackBasta — misbruik maakten van VBR-kwetsbaarheden.