Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Veeam opublikował poprawki dla krytycznej podatności w rozwiązaniu Backup & Replication, która może prowadzić do zdalnego wykonania kodu na serwerze kopii zapasowych. Luka została oznaczona jako CVE-2026-44963 i dotyczy środowisk, w których serwer backupowy jest dołączony do domeny.
Z perspektywy bezpieczeństwa problem ma szczególne znaczenie, ponieważ infrastruktura backupowa stanowi jeden z najważniejszych elementów odporności organizacji na ransomware, sabotaż i incydenty destrukcyjne. Przejęcie kontroli nad serwerem kopii zapasowych może pozbawić firmę ostatniej linii obrony w sytuacji kryzysowej.
W skrócie
- CVE-2026-44963 to krytyczna podatność typu RCE.
- Ocena zagrożenia wynosi CVSS v4 9.4.
- Luka umożliwia uruchomienie kodu na serwerze Veeam Backup Server przez uwierzytelnionego użytkownika domenowego.
- Problem dotyczy Veeam Backup & Replication 12.3.2.4465 oraz wcześniejszych kompilacji linii 12.
- Podatność została usunięta w wersji 12.3.2.4854.
- Według producenta wersje 13.x nie są podatne ze względu na zmiany architektoniczne.
Kontekst / historia
Veeam Backup & Replication od lat jest jednym z kluczowych rozwiązań wykorzystywanych do ochrony danych, odtwarzania po awarii i zapewniania ciągłości działania. Z tego powodu systemy backupowe pozostają atrakcyjnym celem dla cyberprzestępców, którzy coraz częściej koncentrują się nie tylko na systemach produkcyjnych, ale również na mechanizmach odzyskiwania.
Ujawniona luka została zgłoszona w ramach odpowiedzialnego procesu disclosure przez badacza Sina Kheirkhah z watchTowr. Jej publikacja wpisuje się w szerszy trend wzrostu zainteresowania atakujących platformami backupowymi, które po skutecznej kompromitacji mogą zostać wykorzystane do usuwania kopii, modyfikacji retencji, wyłączania zadań ochronnych i przygotowania środowiska pod atak ransomware.
Analiza techniczna
Zgodnie z udostępnionymi informacjami podatność pozwala na zdalne wykonanie kodu na serwerze backupowym przez uwierzytelnionego użytkownika domenowego. Nie jest to więc luka anonimowa ani preautoryzacyjna, jednak wymagany poziom dostępu pozostaje relatywnie niski w realiach dużych środowisk korporacyjnych, gdzie napastnicy często już na wczesnym etapie kampanii uzyskują dostęp do zwykłych kont domenowych.
Kluczowym warunkiem wykorzystania podatności jest członkostwo serwera backupowego w domenie. Ogranicza to zakres narażonych konfiguracji, ale nie zmniejsza znacząco ryzyka w przedsiębiorstwach, w których konta domenowe są liczne, a ruch boczny po sieci pozostaje możliwy po wcześniejszym phishingu, kradzieży poświadczeń lub kompromitacji innego hosta.
Istotne jest również to, że producent usunął problem w buildzie 12.3.2.4854, jednocześnie wskazując, że niewspierane wersje nie były testowane, lecz powinny być traktowane jako prawdopodobnie podatne. To ważna informacja dla zespołów operacyjnych, ponieważ środowiska backupowe są w wielu organizacjach aktualizowane rzadziej niż systemy biznesowe, co wydłuża czas ekspozycji na zagrożenie.
Konsekwencje / ryzyko
Najpoważniejszą konsekwencją skutecznego wykorzystania CVE-2026-44963 jest pełne przejęcie serwera kopii zapasowych. W praktyce może to oznaczać utratę integralności procesów ochrony danych i znaczące osłabienie zdolności organizacji do odzyskania systemów po incydencie.
- modyfikacja lub usuwanie zadań backupu,
- manipulacja repozytoriami kopii zapasowych,
- sabotaż procedur odtwarzania,
- pozyskanie dodatkowych poświadczeń i sekretów,
- rozszerzenie ruchu bocznego w środowisku,
- przygotowanie ataku ransomware przy jednoczesnym zniszczeniu mechanizmów odzyskiwania.
Ryzyko jest szczególnie wysokie w organizacjach, które utrzymują serwer Veeam jako członka domeny, nie stosują segmentacji sieci dla warstwy backupowej, dopuszczają nadmiernie szeroki dostęp kont domenowych do infrastruktury administracyjnej oraz nie posiadają kopii offline, immutable lub logicznie odseparowanych od środowiska produkcyjnego.
Rekomendacje
Priorytetem powinno być niezwłoczne przejście do wersji 12.3.2.4854 lub nowszej, jeśli organizacja nadal korzysta z podatnych wydań linii 12. Równolegle warto zweryfikować, które instancje Veeam są dołączone do domeny, i ocenić, czy taka konfiguracja jest rzeczywiście konieczna z punktu widzenia operacyjnego.
- natychmiast wdrożyć aktualizację bezpieczeństwa,
- przeprowadzić inwentaryzację wszystkich instancji Veeam Backup & Replication,
- ograniczyć członkostwo domenowe serwerów backupowych tam, gdzie to możliwe,
- wdrożyć segmentację sieci i ścisłą kontrolę dostępu do infrastruktury backupowej,
- przejrzeć uprawnienia kont domenowych mających łączność z serwerem backupowym,
- monitorować logi pod kątem nietypowych prób dostępu, uruchamiania procesów i zmian konfiguracji,
- zweryfikować integralność repozytoriów i przeprowadzić testy odtwarzania po wdrożeniu poprawek,
- utrzymywać kopie offline, immutable lub logicznie odseparowane od domeny produkcyjnej.
Z perspektywy strategicznej organizacje powinny potraktować ten incydent jako kolejny argument za twardym wydzieleniem infrastruktury backupowej. Serwer kopii zapasowych nie powinien być zarządzany według tych samych reguł co standardowe systemy aplikacyjne, ponieważ jego kompromitacja niesie nieproporcjonalnie duże skutki biznesowe.
Podsumowanie
CVE-2026-44963 to krytyczna luka RCE w Veeam Backup & Replication, która dotyczy serwerów backupowych dołączonych do domeny i umożliwia uwierzytelnionemu użytkownikowi domenowemu uruchomienie kodu na Backup Server. Choć wykorzystanie podatności wymaga posiadania konta domenowego, realne ryzyko pozostaje bardzo wysokie, szczególnie w środowiskach częściowo skompromitowanych lub słabo segmentowanych.
Dla organizacji korzystających z Veeam oznacza to konieczność szybkiego wdrożenia poprawek, przeglądu architektury bezpieczeństwa oraz wzmocnienia separacji infrastruktury backupowej od pozostałych zasobów domenowych. Ochrona systemów kopii zapasowych powinna być traktowana jako jeden z kluczowych priorytetów cyberbezpieczeństwa.
Źródła
- Veeam Backup & Replication RCE Flaw Lets Domain Users Run Remote Code — https://thehackernews.com/2026/06/veeam-backup-replication-rce-flaw-lets.html
- KB4869: Vulnerability Resolved in Veeam Backup & Replication 12.3.2.4854 — https://www.veeam.com/kb4869