Специалисты по кибербезопасности из watchTowr Labs выявили критическую уязвимость удаленного выполнения кода (RCE) в популярном решении для резервного копирования Veeam Backup & Replication. Уязвимость, получившая идентификатор CVE-2025-23120 и критический рейтинг 9,9 из 10 по шкале CVSS, затрагивает все сборки версии 12 вплоть до 12.3.0.310.
Технический анализ уязвимости
CVE-2025-23120 представляет собой уязвимость десериализации в .NET-классах Veeam.Backup.EsxManager.xmlFrameworkDs и Veeam.Backup.Core.BackupSummary. При неправильной обработке сериализованных данных злоумышленник может внедрить вредоносные объекты, что приводит к выполнению произвольного кода на целевой системе.
Особенности эксплуатации и риски
Особую опасность представляет тот факт, что уязвимость затрагивает установки Veeam, подключенные к домену Windows. В такой конфигурации любой пользователь домена может потенциально эксплуатировать уязвимость, что существенно расширяет поверхность атаки. Эта ситуация особенно критична, учитывая, что многие организации, вопреки рекомендациям по безопасности, интегрируют серверы Veeam с доменной инфраструктурой.
История и контекст проблемы
Примечательно, что в прошлом году разработчики Veeam уже сталкивались с похожей проблемой десериализации. Тогда решением стало внедрение черного списка потенциально опасных классов и объектов. Однако исследователи обнаружили новую цепочку гаджетов, которая позволяет обойти существующие защитные механизмы.
Рекомендации по защите
Разработчики Veeam оперативно выпустили патч, устраняющий уязвимость в версии 12.3.1 (сборка 12.3.1.1139). Учитывая критичность уязвимости и её привлекательность для операторов программ-вымогателей, всем организациям, использующим Veeam Backup & Replication, настоятельно рекомендуется незамедлительно обновить программное обеспечение до актуальной версии.
Помимо обновления, специалисты по информационной безопасности рекомендуют пересмотреть архитектуру развертывания Veeam, минимизировать интеграцию с доменной инфраструктурой и внедрить дополнительные меры защиты резервных копий от несанкционированного доступа и модификации.
