Krytyczne luki w Veeam Backup & Replication zagrażają serwerom kopii zapasowych

Co znajdziesz w tym artykule?

1 Wprowadzenie do problemu / definicja
2 W skrócie
3 Kontekst / historia
4 Analiza techniczna
5 Konsekwencje / ryzyko
6 Rekomendacje
7 Podsumowanie
8 Źródła

Wprowadzenie do problemu / definicja

Veeam ostrzegł o serii poważnych podatności w rozwiązaniu Backup & Replication, które mogą prowadzić do zdalnego wykonania kodu na serwerach odpowiedzialnych za tworzenie i zarządzanie kopiami zapasowymi. To szczególnie niebezpieczna sytuacja, ponieważ infrastruktura backupowa jest jednym z najważniejszych elementów środowiska IT i regularnie znajduje się na celowniku operatorów ransomware.

Przejęcie serwera kopii zapasowych może oznaczać nie tylko ułatwienie dalszej penetracji sieci, ale również utratę możliwości skutecznego odtworzenia danych po incydencie. W praktyce oznacza to, że atak na backup może pozbawić organizację ostatniej linii obrony.

W skrócie

Producent załatał kilka luk bezpieczeństwa w Veeam Backup & Replication, w tym cztery krytyczne podatności typu RCE. Część z nich może zostać wykorzystana przez uwierzytelnionych użytkowników domenowych o niskich uprawnieniach, a jedna umożliwia wykonanie kodu z poziomu roli Backup Viewer jako użytkownik postgres.

Poprawki trafiły do wersji 12.3.2.4465 oraz 13.0.1.2067.
Załatano błędy umożliwiające zdalne wykonanie kodu, ekstrakcję poświadczeń SSH i lokalną eskalację uprawnień.
Zagrożenie dotyczy bezpośrednio systemów, które mają kluczowe znaczenie dla odzyskiwania danych po ataku.

Kontekst / historia

Systemy backupowe od lat pozostają jednym z priorytetowych celów grup ransomware. Atakujący wiedzą, że przejęcie takiego środowiska pozwala sabotować proces odtwarzania, usuwać kopie zapasowe lub modyfikować ich zawartość jeszcze przed uruchomieniem właściwego etapu ataku.

Podatności w produktach backupowych były już wcześniej wykorzystywane w realnych operacjach cyberprzestępczych. Z tego powodu każda nowa krytyczna luka w tej klasie oprogramowania powinna być traktowana jako incydent wysokiego priorytetu, wymagający szybkiej reakcji operacyjnej.

Analiza techniczna

Wśród załatanych błędów znalazły się krytyczne podatności oznaczone jako CVE-2026-21666, CVE-2026-21667, CVE-2026-21669 oraz CVE-2026-21708. Z dostępnych informacji wynika, że trzy z nich pozwalają uwierzytelnionemu użytkownikowi domenowemu na wykonanie zdalnego kodu na serwerze backupowym przy stosunkowo niskiej złożoności ataku.

W gałęzi 12.3.2 poprawiono między innymi CVE-2026-21666 i CVE-2026-21667, obie ocenione na 9.9 w skali CVSS 3.1, a także CVE-2026-21708. Ta ostatnia umożliwia użytkownikowi z rolą Backup Viewer wykonanie kodu jako postgres, co pokazuje, że nawet role o ograniczonym zakresie dostępu mogą stać się skutecznym wektorem ataku.

W wersji 13.0.1.2067 usunięto między innymi CVE-2026-21669, która umożliwia uwierzytelnionemu użytkownikowi domenowemu zdalne wykonanie kodu na serwerze backupowym, oraz CVE-2026-21671, dotyczącą wdrożeń wysokiej dostępności. Dodatkowo załatano CVE-2026-21670, pozwalającą na pozyskanie zapisanych poświadczeń SSH, oraz CVE-2026-21672, związaną z lokalną eskalacją uprawnień na serwerach Windows.

Najgroźniejszy aspekt techniczny polega na możliwości łączenia kilku etapów ataku. Przestępca może rozpocząć od konta o ograniczonych uprawnieniach, następnie wykonać kod na serwerze backupowym, pozyskać dodatkowe poświadczenia i rozszerzyć kompromitację na kolejne zasoby w środowisku. To scenariusz dobrze znany z nowoczesnych kampanii ransomware i działań post-exploitation.

Konsekwencje / ryzyko

Ryzyko związane z tym zestawem luk należy ocenić jako krytyczne, szczególnie w środowiskach korporacyjnych, u dostawców usług zarządzanych oraz w organizacjach, które używają Veeam jako centralnej platformy ochrony danych. Kompromitacja serwera Backup & Replication może prowadzić do zakłócenia procesów odtwarzania, utraty integralności backupów, wycieku danych oraz dalszego ruchu bocznego wewnątrz sieci.

Najbardziej niebezpieczny scenariusz zakłada wykorzystanie podatności przed wdrożeniem poprawek i celowe unieszkodliwienie mechanizmów odzyskiwania po incydencie. W takiej sytuacji backup przestaje pełnić funkcję zabezpieczenia awaryjnego, a organizacja traci zdolność do szybkiego powrotu do działania.

Rekomendacje

Organizacje korzystające z Veeam Backup & Replication powinny jak najszybciej zweryfikować używaną wersję i przeprowadzić aktualizację do wspieranych buildów zawierających poprawki bezpieczeństwa. Priorytetem powinno być wdrożenie wersji 12.3.2.4465 lub 13.0.1.2067, zależnie od używanej gałęzi produktu.

Ograniczyć dostęp do konsoli i komponentów Veeam wyłącznie do ściśle zdefiniowanych administratorów.
Przeprowadzić przegląd ról i uprawnień, zwłaszcza kont typu Backup Viewer, Operator i Administrator.
Monitorować logi pod kątem nietypowych prób logowania, zmian konfiguracji oraz operacji na repozytoriach.
Odseparować serwery backupowe od pozostałej infrastruktury za pomocą segmentacji sieci i kontroli ruchu administracyjnego.
Zweryfikować ochronę zapisanych poświadczeń oraz przeprowadzić rotację sekretów używanych przez system backupowy.
Upewnić się, że dostępne są kopie niemutowalne lub offline, odporne na manipulację po przejęciu głównego serwera zarządzającego.
Wykonać kontrolę integralności repozytoriów i testy odtworzeniowe po wdrożeniu poprawek.

Z perspektywy zespołów SOC i IR warto potraktować niezałatane instancje jako potencjalnie zagrożone. Oznacza to konieczność przeglądu artefaktów kompromitacji, kont serwisowych, zaplanowanych zadań, zmian w konfiguracji backupów oraz dostępu do repozytoriów.

Podsumowanie

Nowe podatności w Veeam Backup & Replication pokazują, jak duże znaczenie ma bezpieczeństwo platform backupowych dla całej odporności organizacji. Krytyczne luki RCE, możliwość ekstrakcji poświadczeń oraz eskalacji uprawnień tworzą wyjątkowo atrakcyjny zestaw narzędzi dla atakujących.

Dla firm i instytucji oznacza to konieczność szybkiego patchowania, ograniczania uprawnień oraz monitorowania całego łańcucha ochrony danych. W środowiskach, gdzie backup stanowi fundament strategii odporności na ransomware, opóźnienie aktualizacji znacząco zwiększa ryzyko utraty zdolności do odzyskania systemów po ataku.

Źródła

Veeam warns of critical flaws exposing backup servers to RCE attacks — https://www.bleepingcomputer.com/news/security/veeam-warns-of-critical-flaws-exposing-backup-servers-to-rce-attacks/
KB4696: Release Information for Veeam Backup & Replication 12.3 and Updates — https://www.veeam.com/kb4696
KB4738: Release Information for Veeam Backup & Replication 13 and Updates — https://www.veeam.com/kb4738
KB4830: Vulnerabilities Resolved in Veeam Backup & Replication 12.3.2.4465 — https://www.veeam.com/kb4830