Wenn Systeme mit der Backuplösung Veeam Backup & Replication Teil einer Domäne sind, können Angreifer an einer kritischen Sicherheitslücke ansetzen und Computer kompromittieren. Eine dagegen abgesicherte Version steht zum Download.
In einer Warnmeldung geben die Entwickler an, dass davon alle Ausgaben bis einschließlich 12.3.0.310 betroffen sind. Die Version 12.3.1 (build 12.3.1.1139) soll geschützt sein. Können Admins das Update nicht umgehend installieren, müssen sie Systeme temporär mit einem Hotfix gegen Attacken rüsten. Das funktioniert aber nur, wenn keine anderen Hotfixes installiert sind. Bislang gibt es keine Berichte zu Attacken.
Die nun geschlossene Sicherheitslücke (CVE-2025-23120) ist als „kritisch“ eingestuft. Dabei handelt es sich um eine Deserialisierungs-Schwachstelle im Kontext der Veeam.Backup.EsxManager.xmlFrameworkDs- und Veeam.Backup.Core.BackupSummary-Klassen. Bei derartigen Schwachstellen kommt es bei der Deserialisierung von Daten zu Fehlern, sodass Angreifer Schadcode einschleusen können. In diesem Fall ist das sogar aus der Ferne möglich, was die Situation verschärft.
Im September 2024 haben die Entwickler eine ähnliche Schwachstelle in Veeam Backup & Replication geschlossen. Dafür haben sie eine Blacklist mit möglichen Angriffspunkten, bestehend aus verschiedenen Klassen und Objekten, eingeführt. Offensichtlich ist diese Liste aber unvollständig, wie Sicherheitsforscher in einem Bericht zur aktuellen Schwachstelle jetzt ausführen.
Dabei zeigen sie auf, wie eine Attacke ablaufen könnte. Bevor sich Angreifer davon inspirieren lassen, sollten Admins ihre Systeme zeitnah absichern. Veeams Backuplösung ist ein beliebtes Ziel für Ransomwarebanden.
Die Sicherheitsforscher schließen ihren Bericht damit, dass eine Blacklist in diesem Kontext wenig Sinn macht und „illegal“ sein sollte. Schließlich ist es im Grunde unmöglich, eine solche Liste stets aktuell und allumfassend zu halten.
(
Kommentare