Kritická zraniteľnosť v produkte Veeam Backup & Replication

Spoločnosť Veeam vydala bezpečnostné aktualizácie na svoj produkt Backup & Replication, ktoré opravujú 2 zraniteľnosti, z ktorých jedna je označená ako kritická. CVE-2025-23121 by vzdialený autentifikovaný útočník mohol zneužiť na vzdialené vykonanie kódu.

Zraniteľné systémy:

• Veeam Backup & Replication vo verziách 12.3.1.1139 a starších

Opis zraniteľnosti:

CVE-2025-23121 (CVSS skóre 9,9)

Kritická zraniteľnosť by vzdialený autentifikovaný doménový používateľ mohol zneužiť na vzdialené vykonanie kódu s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Zraniteľnosť je možné zneužiť len na inštanciách zapojených do domény.

CVE-2025-24286 (CVSS skóre 7,2)

Zraniteľnosť vysokej závažnosti by vzdialený autentifikovaný používateľ s oprávneniami Backup Operator mohol zneužiť na modifikáciu zálohovacích operácií a vykonanie ľubovoľného kódu.

Možné škody:

• Vzdialené vykonanie kódu
• Neoprávnená zmena v systéme
• Úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu Veeam Backup & Replication na verziu 12.3.2.3617 alebo novšiu. V prípade, že prevádzkujete inštancie produktu zapojené do domény, odporúčame aplikovať best practice postupy, ktoré odporúča výrobca.

Zdroje:

• https://www.veeam.com/kb4743
• https://www.rapid7.com/blog/post/etr-critical-veeam-backup-replication-cve-2025-23121/
• https://thehackernews.com/2025/06/veeam-patches-cve-2025-23121-critical.html