Veeam Patch Update: Четири RCE уязвимости и сериозни рискове за данни

Veeam Software пусна спешни пачове за Backup & Replication (VBR), затваряйки четири критични уязвимости за отдалечено изпълнение на код (RCE), които застрашават сървъри за резервни копия и потенциално позволяват на атакуващи да поемат контрол над корпоративни мрежи.

VBR е корпоративен софтуер за архивиране и възстановяване на данни, широко използван от IT администратори за създаване на резервни копия на критична информация. Системата гарантира бързо възстановяване след кибератаки или хардуерни повреди, което я прави ключов елемент от защитата на инфраструктурата.

Детайли за уязвимостите

Трите RCE уязвимости, идентифицирани като CVE-2026-21666, CVE-2026-21667 и CVE-2026-21669, позволяват на потребители с ниски привилегии в домейна да изпълняват код отдалечено на уязвими сървъри чрез атаки с ниска сложност. Четвъртата уязвимост, CVE-2026-21708, дава възможност на Backup Viewer да изпълнява код като потребител postgres.

Освен това Veeam коригира няколко високорискови уязвимости, позволяващи:

• ескалация на привилегиите на Windows базирани VBR сървъри,

• извличане на запаметени SSH креденшъли,

• заобикаляне на ограниченията за манипулиране на произволни файлове в Backup Repository.

Уязвимостите са открити по време на вътрешно тестване или съобщени чрез платформата HackerOne и са адресирани във версиите 12.3.2.4465 и 13.0.1.2067 на VBR.

Veeam предупреждава:

„След разкриване на уязвимост и публикуване на пач, атакуващите вероятно ще се опитат да обратят анализа на корекцията, за да експлоатират непачнати инсталации.“ Затова е критично всички администратори да актуализират софтуера незабавно.

VBR сървъри като цел на рансъмуер атаки

VBR е популярен сред доставчици на управлявани услуги и средни до големи предприятия. Рансъмуер групи го таргетират поради:

• възможността за бързо разпространение в компрометирани мрежи,

• улесняване на кражба на данни,

• блокиране на възстановяване чрез изтриване на резервни копия.

Финансово мотивираната група FIN7, известна със сътрудничество с Conti, REvil, Maze, Egregor и BlackBasta, както и рансъмуер бандата Cuba, са свързани с минали атаки, използващи VBR уязвимости.

През ноември 2024 г. екипът на Sophos X-Ops установи, че рансъмуерът Frag експлоатира RCE бъг във VBR, разкрит два месеца по-рано, като същият е използван и от Akira и Fog рансъмуер кампании, стартирали през октомври 2024 г.

Потребителска база и значимост

Продуктите на Veeam се използват от над 550 000 клиенти по света, включително 74% от Global 2,000 фирми и 82% от Fortune 500 компании, което подчертава потенциалния мащаб на риска при непачнати системи.