Компания Veeam выпустила критическое обновление безопасности для устранения серьезной уязвимости удаленного выполнения кода в популярном решении для резервного копирования. Уязвимость CVE-2025-23121 получила максимальный балл 9,9 по шкале CVSS, что свидетельствует о крайне высоком уровне угрозы для корпоративной инфраструктуры.
Детали критической уязвимости в системе резервного копирования
Исследователи безопасности из компаний watchTowr и CodeWhite обнаружили опасную брешь в архитектуре Veeam Backup & Replication версии 12 и более поздних. Уязвимость затрагивает исключительно установки, интегрированные с доменом Active Directory, что делает ее особенно опасной для корпоративных сред.
Механизм эксплуатации позволяет любому аутентифицированному пользователю домена выполнить произвольный код на сервере резервного копирования. Такая возможность открывает злоумышленникам широкие перспективы для компрометации критически важной инфраструктуры, включая доступ к резервным копиям конфиденциальных данных.
Проблема архитектурной безопасности корпоративных развертываний
Анализ инцидента выявил системную проблему в подходах к развертыванию систем резервного копирования. Многие организации подключают серверы Veeam к основному домену Windows, игнорируя официальные рекомендации производителя о создании изолированного Active Directory Forest.
Такая практика значительно расширяет поверхность атаки, поскольку потенциальными злоумышленниками могут стать не только внешние хакеры, но и любые пользователи корпоративной сети с базовыми привилегиями доступа к домену.
Рекомендации по безопасной архитектуре
Специалисты Veeam традиционно настаивают на соблюдении принципов безопасного развертывания: использование отдельного леса Active Directory, защита административных учетных записей двухфакторной аутентификацией и применение принципа минимальных привилегий для доступа к системам резервного копирования.
Связь с предыдущими инцидентами безопасности
Текущая уязвимость не является изолированным случаем. В марте 2025 года исследователи watchTowr Labs уже выявили аналогичную проблему CVE-2025-23120, связанную с небезопасной десериализацией в .NET-классах системы.
Корень проблемы лежит в использовании устаревшего компонента BinaryFormatter, который Microsoft официально признала небезопасным для обработки недоверенных данных. Этот механизм принципиально не может быть защищен от атак десериализации, что делает его присутствие в критически важных системах серьезной угрозой безопасности.
Технические аспекты эксплуатации уязвимости
Механизм атаки основан на внедрении вредоносных объектов через процесс десериализации данных. Злоумышленники могут создать специально сформированные сериализованные объекты, содержащие так называемые «гаджеты» — фрагменты кода, которые выполняются в процессе восстановления объекта из сериализованного состояния.
Эксперт Антон Гостев из watchTowr предупреждал, что подобные уязвимости будут возникать регулярно до полного удаления BinaryFormatter из кодовой базы продукта, что требует серьезной архитектурной модернизации системы.
Срочные меры по устранению угрозы
Компания Veeam выпустила исправление в версии 12.3.2.3617, которое полностью устраняет выявленную уязвимость. Администраторам систем резервного копирования рекомендуется незамедлительно планировать обновление, учитывая критический характер угрозы.
Организациям следует также пересмотреть архитектуру развертывания своих систем резервного копирования, обеспечив их изоляцию от основной корпоративной инфраструктуры. Данный инцидент подчеркивает важность соблюдения принципов глубокоэшелонированной защиты и регулярного аудита безопасности критически важных систем. Своевременное применение обновлений безопасности остается одним из наиболее эффективных способов защиты от целенаправленных кибератак.
