Дослідники з компанії watchTowr Labs виявили критичну вразливість віддаленого виконання коду (RCE) у популярній системі резервного копіювання Veeam Backup & Replication. Вразливість, зареєстрована під ідентифікатором CVE-2025-23120, отримала критичний рейтинг 9,9 за шкалою CVSS та впливає на всі збірки версії 12 до 12.3.0.310 включно.
Технічний аналіз вразливості
В основі CVE-2025-23120 лежить проблема десеріалізації в .NET-компонентах Veeam.Backup.EsxManager.xmlFrameworkDs та Veeam.Backup.Core.BackupSummary. При некоректній обробці серіалізованих даних зловмисники можуть впровадити шкідливі об’єкти, що призводить до виконання довільного коду на цільовій системі. Особливо небезпечним є те, що вразливість не потребує складних передумов для експлуатації.
Вплив на корпоративну безпеку
Найбільшу загрозу вразливість становить для систем Veeam, інтегрованих з доменом Windows. У такій конфігурації будь-який користувач домену потенційно може експлуатувати вразливість, що створює значні ризики для корпоративної інфраструктури. Ситуація ускладнюється тим, що значна кількість організацій використовує саме таку архітектуру розгортання.
Еволюція проблеми та попередні інциденти
Варто зазначити, що подібна вразливість десеріалізації вже виявлялася у продуктах Veeam минулого року. Тоді розробники впровадили механізм чорного списку небезпечних класів та об’єктів. Проте дослідники змогли виявити нову послідовність гаджетів, яка обходить існуючі захисні механізми, що вказує на необхідність більш фундаментального підходу до безпеки.
Рекомендації щодо мітигації
Компанія Veeam випустила оновлення безпеки у версії 12.3.1 (збірка 12.3.1.1139), яке усуває виявлену вразливість. Враховуючи критичність проблеми та її потенційну привабливість для операторів програм-вимагачів, рекомендується терміново оновити програмне забезпечення до актуальної версії.
Для забезпечення комплексного захисту рекомендується також переглянути архітектуру розгортання Veeam, мінімізувати інтеграцію з доменною інфраструктурою та впровадити додаткові рівні захисту резервних копій. Це включає сегментацію мережі, впровадження принципу найменших привілеїв та регулярний аудит доступу до систем резервного копіювання.
