Когда бэкап превращается в тыкву. Veeam случайно создала идеальную точку входа для хакеров
NewsMakerАдминам Veeam советуют срочно обновиться до 13.0.1.1071 из-за набора опасных ошибок в ветке 13.
Резервные копии обычно считаются последней линией обороны, но на этой неделе Veeam напомнила, что и сами системы бэкапа могут стать точкой входа для атаки. Компания выпустила обновления безопасности для Backup & Replication, закрыв сразу несколько уязвимостей, среди которых есть проблема с высоким риском удаленного выполнения кода.
Самая заметная из них получила идентификатор CVE-2025-59470 (оценка CVSS: 9.0). По описанию Veeam, злоумышленник с ролью Backup Operator или Tape Operator способен добиться RCE от имени пользователя postgres, передав вредоносные параметры interval или order. При этом в бюллетене Veeam отдельно подчеркивает: несмотря на оценку «critical» по CVSS, компания относит уязвимость к high severity, потому что эксплойт требует уже очень привилегированных ролей, а при соблюдении рекомендаций по безопасности Veeam окно для злоупотреблений заметно сужается.
Роли действительно дают много возможностей. Backup Operator может, например, запускать и останавливать существующие задания, экспортировать и копировать бэкапы, а также создавать VeeamZip. Tape Operator управляет «ленточными» операциями: запускает задания для tape backup и catalog, импортирует и экспортирует ленты, стирает их, задает пароль и выполняет другие действия. Иными словами, это не «обычные пользователи», и в нормально настроенной среде доступ к таким учеткам должен быть максимально ограничен и хорошо контролируем.
Помимо CVE-2025-59470 исправлены еще 3 уязвимости в том же продукте: CVE-2025-55125 (оценка CVSS: 7.2), где Backup или Tape Operator может добиться RCE уже как root через вредоносный файл конфигурации бэкапа; CVE-2025-59468 (оценка CVSS: 6.7), где Backup Administrator способен выполнить код как postgres через параметр password; и CVE-2025-59469 (оценка CVSS: 7.2), позволяющая Backup или Tape Operator записывать файлы от имени root. Все четыре проблемы затрагивают Veeam Backup & Replication 13.0.1.180 и более ранние сборки ветки 13, а исправления вышли в версии 13.0.1.1071.
Veeam не сообщает о фактах эксплуатации в реальных атаках, но обновление лучше не откладывать: продукты резервного копирования регулярно оказываются в зоне интереса вымогателей и операторов постэксплуатации, потому что доступ к бэкап-серверу часто означает доступ ко всей инфраструктуре восстановления.
Резервные копии обычно считаются последней линией обороны, но на этой неделе Veeam напомнила, что и сами системы бэкапа могут стать точкой входа для атаки. Компания выпустила обновления безопасности для Backup & Replication, закрыв сразу несколько уязвимостей, среди которых есть проблема с высоким риском удаленного выполнения кода.
Самая заметная из них получила идентификатор CVE-2025-59470 (оценка CVSS: 9.0). По описанию Veeam, злоумышленник с ролью Backup Operator или Tape Operator способен добиться RCE от имени пользователя postgres, передав вредоносные параметры interval или order. При этом в бюллетене Veeam отдельно подчеркивает: несмотря на оценку «critical» по CVSS, компания относит уязвимость к high severity, потому что эксплойт требует уже очень привилегированных ролей, а при соблюдении рекомендаций по безопасности Veeam окно для злоупотреблений заметно сужается.
Роли действительно дают много возможностей. Backup Operator может, например, запускать и останавливать существующие задания, экспортировать и копировать бэкапы, а также создавать VeeamZip. Tape Operator управляет «ленточными» операциями: запускает задания для tape backup и catalog, импортирует и экспортирует ленты, стирает их, задает пароль и выполняет другие действия. Иными словами, это не «обычные пользователи», и в нормально настроенной среде доступ к таким учеткам должен быть максимально ограничен и хорошо контролируем.
Помимо CVE-2025-59470 исправлены еще 3 уязвимости в том же продукте: CVE-2025-55125 (оценка CVSS: 7.2), где Backup или Tape Operator может добиться RCE уже как root через вредоносный файл конфигурации бэкапа; CVE-2025-59468 (оценка CVSS: 6.7), где Backup Administrator способен выполнить код как postgres через параметр password; и CVE-2025-59469 (оценка CVSS: 7.2), позволяющая Backup или Tape Operator записывать файлы от имени root. Все четыре проблемы затрагивают Veeam Backup & Replication 13.0.1.180 и более ранние сборки ветки 13, а исправления вышли в версии 13.0.1.1071.
Veeam не сообщает о фактах эксплуатации в реальных атаках, но обновление лучше не откладывать: продукты резервного копирования регулярно оказываются в зоне интереса вымогателей и операторов постэксплуатации, потому что доступ к бэкап-серверу часто означает доступ ко всей инфраструктуре восстановления.