Хакер #309. Самооборона по-хакерски
Разработчики Veeam патчат критическую уязвимость удаленного выполнения кода (CVE-2025-23120) в Backup & Replication. Проблема затрагивает domain-joined установки.
Уязвимость затрагивает Veeam Backup & Replication версии 12.3.0.310, а также все предыдущие сборки 12-й версии. Проблема получила 9,9 балла из 10 возможных по шкале CVSS и была устранена в версии 12.3.1 (build 12.3.1.1139), вышедшей на прошлой неделе.
Согласно отчету специалистов компании watchTowr Labs, обнаруживших эту ошибку, CVE-2025-23120 представляет собой проблему десериализации в .NET классах Veeam.Backup.EsxManager.xmlFrameworkDs и Veeam.Backup.Core.BackupSummary. То есть приложение неправильно обрабатывает сериализованные данные, что позволяет внедрять вредоносные объекты и гаджеты, которые могут выполнять опасный код.
В прошлом году разработчики уже исправили похожую RCE-проблему, связанную с десериализацией. Для ее устранения в Veeam добавили черный список известных классов и объектов, которые могли эксплуатироваться для атаки.
Однако теперь исследователи нашли другую цепочку гаджетов, которая не попала в черный список и тоже могла применяться для удаленного выполнения кода.
Эксперты отмечают, что CVE-2025-23120 затрагивает только те установки Veeam Backup & Replication, которые подключены к домену. Однако это означает, что любой пользователь домена может использовать уязвимость, что упрощает ее эксплуатацию.
Исследователи констатируют, что многие компании подключают серверы Veeam к домену Windows, игнорируя многочисленные рекомендации по безопасности. Из-за этого вымогательские группировки нередко нацеливаются на серверы Veeam Backup & Replication, поскольку это позволяет без труда похитить данные и заблокировать попытки восстановления данных путем удаления резервных копий.
Компаниям, использующим Veeam Backup & Replication, рекомендуется как можно скорее обновиться до версии 12.3.1.
