Разработчики Veeam выпустили патчи, устраняющие несколько недостатков в Veeam Backup & Replication (VBR), включая критическую уязвимость удаленного выполнения кода (RCE).

Проблему, которая получила идентификатор CVE-2025-23121 (9,9 балла по шкале CVSS), обнаружили эксперты из компаний watchTowr и CodeWhite, и сообщается, что уязвимость затрагивает только domain-joined установки.

Как объясняют представители Veeam в бюллетене безопасности, уязвимость могла использоваться аутентифицированными пользователями домена для удаленного выполнения кода на сервере резервного копирования. Ошибка затрагивает Veeam Backup & Replication версии 12 и старше, и была исправлена в версии 12.3.2.3617.

Хотя CVE-2025-23121 затрагивает только domain-joined установки VBR, воспользоваться ею может любой пользователь домена, что облегчает возможные злоупотребления в таких случаях.

Отмечается, что многие компании подключают свои серверы резервного копирования к домену Windows, игнорируя рекомендации Veeam, хотя компания всегда настаивает на использовании отдельного Active Directory Forest и защите административных учетных записей с помощью двухфакторной аутентификации.

Следует отметить, что в марте 2025 года специалисты watchTowr Labs уже обнаруживали похожую уязвимость (CVE-2025-23120), которая представляла собой проблему десериализации в .NET-классах Veeam.Backup.EsxManager.xmlFrameworkDs и Veeam.Backup.Core.BackupSummary.

Эта уязвимость, как и другие более старые баги, была связана BinaryFormatter — устаревшем компоненте, которому, по данным Microsoft, нельзя доверять при десериализации данных, и который не может быть защищен в принципе. То есть приложение неправильно обрабатывало сериализованные данные, что позволяло внедрять вредоносные объекты и гаджеты, которые могут выполнять опасный код.

Вероятно, корень новой проблемы CVE-2025-23121 лежит в этой же области. Так, еще в марте специалист watchTowr Антон Гостев писал, что пока BinaryFormatter не будет удален из VBR, подобные проблемы безопасности будут неизменно возникать снова.

Теперь компаниям, использующим Veeam Backup & Replication, рекомендуется как можно скорее обновиться до версии 12.3.2.3617.