Kritisk sårbarhed i Veeam Backup og Replication

Der er observeret en kritisk sårbarhed i Veeam Backup & Replication der kan medføre at en ondsindet aktør kan opnå "Remote Code Execution" (RCE).

Sårbarhederne har id’erne registreret som CVE-2025-23121 & CVE-2025-24286 og CVSS-scores på hhv. 9,9 og 7,2.

De berørte systemer er Veeam Backup & Replication 12.3.1.1139 og alle tidligere 12.x.x.x versioner

Muligheden for "Remote Code Execution" (RCE) kan opnås af en autentificeret domænebruger på backup-serveren. Sårbarheden kan også muliggøre, at en med Backup Operator-rollen kan ændre backupopgaver hvilket kan medføre eksekvering af vilkårlig kode på enheden.

Mens CVE-2025-23121 kun påvirker VBR-installationer, der er tilsluttet et domæne, kan enhver domænebruger udnytte det, hvilket gør det nemt at misbruge i disse konfigurationer. Der er dog desværre eksempler på, at flere tilslutter deres backup-servere til et Windows-domæne, hvilket ignorerer Veeams ”best practice”, der råder administratorer til at bruge en separat Active Directory Forest og beskytte de administrative konti med to-faktor autentifikation.

Ved at gøre dette udsættes netværket for et øget risiko for at blive komprimeret. Ransomwaregrupper har afsløret, at de retter angreb mod VBR-servere, fordi de forenkler tyveri af ofrenes data og blokerer genoprettelsesindsatser ved at slette sikkerhedskopier, før de udløser ransomware på ofrenes netværk.

Der er ikke rapporteret om aktiv udnyttelse, men de anbefales at opdatere de sårbare installationer med det samme.