Veeam, czyli jeden z najpowszechniejszych produktów do tworzenia i odtwarzania kopii zapasowych w środowiskach korporacyjnych, załatał pilnie kilka poważnych luk bezpieczeństwa w swoim oprogramowaniu Backup & Replication v13, w tym krytyczną podatność umożliwiającą zdalne wykonanie kodu (RCE). Błędy te potencjalnie pozwalają atakującemu przejąć kontrolę nad serwerem kopii zapasowych, co może mieć katastrofalne skutki dla organizacji, które bazują na Veeam w swojej strategii ochrony danych.
Co się wydarzyło?
6 stycznia 2026 roku Veeam opublikował aktualizację bezpieczeństwa dla swojego flagowego systemu Backup & Replication (build 13.0.1.1071), która naprawia cztery poważne podatności wpływające na wszystkie wcześniejsze wersje v13.
Najważniejsza z nich to CVE-2025-59470 – zdalne wykonanie kodu (RCE)
- Ocena CVSS: 9.0 (bardzo poważna)
- Wpływ: użytkownik z rolą Backup Operator lub Tape Operator może wykonać zdalnie kod z uprawnieniami użytkownika postgres, wysyłając spreparowane parametry (np. interval lub order).
- Zakres: dotyczy Backup & Replication 13.0.1.180 i starszych buildów.
Pozostałe podatności załatane w tej aktualizacji
Poza głównym RCE łatki usuwają również:
CVE-2025-55125 (CVSS 7.2):
- umożliwia zdalne wykonanie kodu jako root, jeżeli atakujący tworzy spreparowany plik konfiguracyjny backupu,
- wymaga uprawnień Backup lub Tape Operator.
CVE-2025-59468 (CVSS 6.7):
- pozwala użytkownikowi z rolą Backup Administrator na wykonanie kodu jako postgres przez złośliwy parametr hasła.
CVE-2025-59469 (CVSS 7.2):
- pozwala użytkownikowi z rolą Backup lub Tape Operator na zapis plików z uprawnieniami root.
Dlaczego to takie groźne?
Zapewnienie integralności i niezawodności backupów jest fundamentem strategii odzyskiwania po awarii oraz ochrony przed ransomware. jeżeli atakujący zdoła wykonać kod na serwerze Veeam, może:
- usuwać lub modyfikować backupy,
- wdrożyć ransomware, który szyfruje dane i backupy jednocześnie,
- przejąć pełną kontrolę nad infrastrukturą kopii zapasowych.
Historycznie ataki ransomware, takie jak Frag, Akira czy Cuba, wykorzystały wcześniejsze luki w produktach Veeam do sabotowania procesów backupowych, zanim technologia została zaktualizowana.
Szczegóły techniczne wykorzystania podatności CVE-2025-59470
Podatność wynika z niewystarczającej walidacji danych wejściowych w jednym z modułów aplikacji (np. w komponentach odpowiadających za składnię parametrów w zadaniach backupowych). Dlatego atakujący, który posiada już dostęp z odpowiednią rolą w systemie (np. Backup Operator), może:
- wysłać złośliwe dane wejściowe do funkcji analizujących parametry zadań backupowych,
- wstrzyknąć kod, który zostanie wykonany jako proces Veeam działający z uprawnieniami postgres,
- uzyskać faktyczną kontrolę nad serwerem backupów, z poziomu konta usługi.
Rekomendacje
- Natychmiast zaktualizuj wszystkie instancje Veeam Backup & Replication do wersji 13.0.1.1071 lub nowszej.
- Przejrzyj role użytkowników i ogranicz liczbę kont z rolami Backup Operator oraz Tape Operator do niezbędnych.
- Monitoruj i audytuj logi systemowe oraz podejrzane aktywności w środowisku Veeam.
- Stosuj zasadę najmniejszych uprawnień i separację środowisk backupowych od środowiska produkcyjnego.
Podsumowanie
Aktualizacja Veeam z 6 stycznia 2026 r. to ważna łatka bezpieczeństwa, którą należy wdrożyć niezwłocznie, zwłaszcza w środowiskach korporacyjnych i krytycznych dla działalności. Pomimo iż atak wymaga uprzywilejowanej roli, konsekwencje niezałatanych systemów mogą być katastrofalne – od utraty danych po całkowite przejęcie infrastruktury backupowej.
