O Veeam Backup & Replication contém duas vulnerabilidades que podem permitir a execução remota de código. As vulnerabilidades podem ser exploradas por usuários pertencentes ao grupo de usuários local no host Windows do servidor Veeam. Se o servidor for adicionado ao domínio, todos os usuários deste domínio poderão explorar as vulnerabilidades. Um patch que corrige os problemas já está disponível.
Leia também
Chainalysis explica como a Bybit foi roubada
Desenvolvedor do LockBit é extraditado para os EUA
A Watchtower alerta sobre isso. De acordo com a empresa de segurança, as vulnerabilidades podem ser rastreadas até um problema mais amplo nos mecanismos de desserialização da Veeam. Os pesquisadores criticam o uso de uma lista negra pela Veeam para bloquear problemas de desserialização. Eles argumentam que a empresa deveria realmente usar uma lista de permissões.
“Como indústria, sabemos que a desserialização descontrolada sempre leva a problemas. É por isso que você deve sempre implementar controles rigorosos nas classes que são desserializadas. Idealmente, essa deve ser uma lista de permissões que permita a desserialização somente de classes selecionadas. Embora a solução Veeam em questão tecnicamente faça isso, uma das classes permitidas leva à desserialização interna, que então implementa uma verificação baseada em lista negra”, escreve a empresa.
As vulnerabilidades descobertas (ambas descritas como CVE-2025-23120) podem ser vinculadas à vulnerabilidade CVE-2024-40711, descoberta em setembro de 2024, que também permite a execução remota de código, de acordo com a Watchtowr. A empresa também aponta para uma conexão com a CVE-2024-42455, que permite que usuários autenticados explorem a desserialização insegura. A Watchtowr alerta que os invasores podem identificar essas vulnerabilidades com relativa facilidade pesquisando a base de código do Veeam Backup & Replication para gadgets de desserialização que não estão incluídos na lista negra. Ela colocou isso à prova e descobriu as duas vulnerabilidades.
As vulnerabilidades só podem ser exploradas se um invasor conseguir se autenticar com sucesso. No entanto, a Watchtowr afirma que os requisitos de autenticação do Veeam Backup & Replication não são fortes, o que significa que os vazamentos ainda representam um risco significativo. As vulnerabilidades foram corrigidas na versão 12.3.1 do Backup & Replication.
