Компанія Veeam оголосила про випуск екстреного патча безпеки для усунення критичної вразливості CVE-2025-23121, яка отримала найвищий бал 9.9 за шкалою CVSS. Дана загроза дозволяє зловмисникам виконувати довільний код на серверах резервного копіювання через механізми інтеграції з Active Directory.
Технічні характеристики виявленої загрози
Дослідницькі команди watchTowr та CodeWhite виявили серйозний недолік у архітектурі Veeam Backup & Replication версії 12 та новіших релізів. Вразливість активується виключно в середовищах, інтегрованих з доменами Active Directory, що робить її особливо небезпечною для корпоративного сектору.
Механізм експлуатації базується на можливості будь-якого аутентифікованого користувача домену ініціювати виконання шкідливого коду на цільовому сервері. Така функціональність надає атакуючим потенціал для повної компрометації інфраструктури резервного копіювання та отримання доступу до критично важливих корпоративних даних.
Архітектурні проблеми корпоративних розгортань
Аналіз інциденту розкрив системні недоліки в практиках розгортання систем резервного копіювання. Значна кількість організацій підключає сервери Veeam до основного корпоративного домену, ігноруючи офіційні рекомендації виробника щодо створення ізольованого Active Directory Forest.
Така конфігурація кратно збільшує поверхню атаки, оскільки потенційними загрозами стають не лише зовнішні кіберзлочинці, але й будь-які внутрішні користувачі з базовими правами доступу до корпоративної мережі.
Принципи безпечної архітектури
Експерти Veeam традиційно наполягають на дотриманні принципів захищеного розгортання: створення окремого лісу Active Directory, захист адміністративних облікових записів двофакторною аутентифікацією та застосування концепції мінімальних привілеїв для систем резервного копіювання.
Зв’язок з попередніми інцидентами безпеки
Поточна вразливість не є ізольованим випадком. У березні 2025 року дослідники watchTowr Labs вже ідентифікували схожу проблему CVE-2025-23120, пов’язану з небезпечною десеріалізацією в .NET-компонентах системи.
Джерело проблеми полягає у використанні застарілого компоненту BinaryFormatter, який Microsoft офіційно визнала небезпечним для обробки неперевірених даних. Цей механізм принципово не може бути захищений від атак десеріалізації, що робить його присутність у критично важливих системах серйозною загрозою.
Механізм експлуатації та технічні деталі
Атака базується на впровадженні шкідливих об’єктів через процес десеріалізації даних. Зловмисники можуть створювати спеціально сформовані серіалізовані об’єкти, що містять так звані “гаджети” – фрагменти коду, які активуються під час відновлення об’єкта зі серіалізованого стану.
Експерт Антон Гостев з watchTowr попереджав, що подібні вразливості виникатимуть регулярно до повного видалення BinaryFormatter з кодової бази продукту, що вимагає масштабної архітектурної модернізації системи.
Невідкладні заходи щодо усунення загрози
Компанія Veeam випустила виправлення у версії 12.3.2.3617, яке повністю нейтралізує виявлену вразливість. Адміністраторам систем резервного копіювання настійно рекомендується негайно планувати оновлення, враховуючи критичний рівень загрози.
Організаціям варто також переглянути архітектуру розгортання своїх систем резервного копіювання, забезпечивши їх ізоляцію від основної корпоративної інфраструктури. Цей інцидент підкреслює важливість дотримання принципів багаторівневого захисту та регулярного аудиту безпеки критично важливих систем. Своєчасне застосування оновлень безпеки залишається одним з найефективніших методів захисту від цілеспрямованих кібератак.
