Veeam heeft nieuwe beveiligingsupdates uitgebracht voor zijn Backup & Replication-software na de ontdekking van meerdere kwetsbaarheden, waaronder een ernstig lek dat kan worden misbruikt voor remote code execution (RCE).
Dit meldt BleepingComputer. De kwetsbaarheden raken back-upservers, die in veel organisaties een sleutelrol spelen bij herstel na incidenten en cyberaanvallen.
De meest impactvolle kwetsbaarheid staat geregistreerd als CVE-2025-59470 en treft versie 13 van Veeam Backup & Replication tot en met build 13.0.1.180. Via dit lek kan een gebruiker met specifieke rechten op afstand code uitvoeren onder het postgres-account. De oorzaak ligt in onvoldoende validatie van bepaalde parameters die door de software worden verwerkt.
Hoewel de kwetsbaarheid aanvankelijk als kritisch werd beoordeeld, heeft Veeam de ernst later teruggebracht naar hoog, omdat misbruik alleen mogelijk is voor accounts met de rollen Backup Operator of Tape Operator. Dat zijn rollen met vergaande bevoegdheden, die in een goed ingerichte omgeving slechts beperkt en streng gecontroleerd zouden moeten worden ingezet.
Begin januari bracht Veeam versie 13.0.1.1071 uit, waarin deze kwetsbaarheid is verholpen. In dezelfde update zijn nog twee andere beveiligingsproblemen aangepakt. Daarbij gaat het om een kwetsbaarheid met hoge impact die misbruik mogelijk maakt via een gemanipuleerd back-upconfiguratiebestand en een probleem met middelhoge impact waarbij een kwaadwillende parameter kan leiden tot het uitvoeren van code. In alle gevallen geldt dat een aanvaller al toegang moet hebben tot de back-upomgeving.
Bekende kwetsbaarheden zijn opgelost
Volgens aanvullende documentatie van Veeam zelf zijn alle bekende kwetsbaarheden volledig opgelost in deze nieuwe build. De problemen komen uitsluitend voor in versie 13 tot en met build 13.0.1.180; eerdere hoofdversies van de software worden niet geraakt. Veeam benadrukt dat de kwetsbaarheden voortkomen uit scenario’s waarin gebruikers met uitgebreide rechten misbruik kunnen maken van onvoldoende gecontroleerde invoer, wat kan resulteren in code-uitvoering of aanpassingen op systeemniveau. Hoewel directe aanvallen van buitenaf niet mogelijk zijn, acht het bedrijf misbruik door een aanvaller die al toegang tot het netwerk heeft wel degelijk realistisch.
Veeam Backup & Replication wordt in veel organisaties ingezet als enterprise-oplossing voor het veiligstellen en herstellen van kritieke data en applicaties na cyberincidenten, hardwarestoringen of andere calamiteiten. Juist door die centrale rol zijn Veeam-servers al langere tijd een aantrekkelijk doelwit voor cybercriminelen. Ransomwaregroepen richten zich regelmatig expliciet op back-upinfrastructuur, omdat succesvolle toegang niet alleen datadiefstal vereenvoudigt, maar ook herstel kan saboteren door back-ups te verwijderen voordat ransomware wordt uitgerold.
Onderzoekers en incident responders hebben in het verleden meerdere aanvallen gekoppeld aan misbruik van kwetsbaarheden in Veeam-software. Zowel ransomwaregroepen als financieel gemotiveerde dreigingsactoren gebruikten dergelijke lekken om lateraal door netwerken te bewegen. Ook in 2024 werd nog vastgesteld dat verschillende ransomwarefamilies actief misbruik maakten van een eerder ontdekte kwetsbaarheid in Veeam Backup & Replication.