Компанията Veeam публикува спешни  актуализации за своя софтуер Veeam Backup & Replication (VBR), с които адресира критична уязвимост позволяваща отдалечено изпълнение на код (RCE). Уязвимостта, проследявана като CVE-2025-23121, е открита от изследователи на watchTowr и CodeWhite и засяга инсталации, свързани с Windows домейн.

Какво представлява уязвимостта?

CVE-2025-23121 позволява на всеки удостоверен потребител в домейна да изпълни отдалечен код на сървъра за резервни копия, без нужда от сложни техники или ескалация на права. Това прави уязвимостта особено опасна в корпоративна среда, където често има множество домейн потребители с достъп до мрежата.

Уязвимостта засяга Veeam Backup & Replication версии 12 и нагоре, като е коригирана във версия 12.3.2.3617, издадена на 17 юни 2025 г.

Масово разпространен, но слабо изолиран софтуер

Макар Veeam да препоръчва изолиране на сървърите за резервни копия чрез отделна Active Directory гора и защита с многофакторна автентикация, на практика много организации пренебрегват тези указания. Така техните VBR инсталации се оказват лесна мишена.

„Всеки потребител в домейна — дори с базов достъп — може да се възползва от тази уязвимост, ако сървърът за архиви е свързан с домейн,“ посочва Veeam в своя бюлетин.

Целенасочени атаки срещу Veeam

През последните години уязвимости във Veeam често са експлоатирани от рансъмуер групировки, поради ключовото значение на бекъп сървърите в ИТ инфраструктурата.

• През март 2025 г. бе запушена друга подобна уязвимост – CVE-2025-23120, също засягаща домейн-инсталации на VBR.

• През есента на 2024 г., уязвимостта CVE-2024-40711 бе използвана в атаки с Frag, Akira и Fog рансъмуер.

• Групи като FIN7, Cuba и коалиции, свързани с Conti, REvil и BlackBasta, също са засичани да използват експлойти срещу VBR.

Според Veeam, техните решения се използват от над 550 000 организации, включително 82% от компаниите във Fortune 500 и 74% от глобалните 2000 фирми.

Препоръки за защита

Veeam съветва незабавно да бъдат приложени следните мерки:

• Актуализирайте до версия 12.3.2.3617 или по-нова;
• Проверете дали сървърът за резервни копия е част от домейн – обмислете изолирането му;
• Ограничете достъпа до VBR сървърите, като използвате мрежови сегментации и firewall правила;
• Активирайте MFA за всички администраторски акаунти;
• Одитирайте достъпа и логовете за подозрителна активност.

Наличието на критична уязвимост в толкова широко използван софтуер за бекъп подчертава нуждата от стриктни практики по киберсигурност и архитектурна изолация на ключови системи. В контекста на повишена активност на рансъмуер оператори, пренебрегването на препоръките на производителя може да доведе до катастрофални последици – загуба на архиви, кражба на данни и бизнес прекъсвания.