Компания Veeam сообщает о четырех уязвимостях, которые могут позволить лицу с определенными надзорными ролями в флагманском продукте Backup & Replication нанести серьезный ущерб резервной базе данных — но не уничтожить ее.
Компания уже выпустила исправление для этих ошибок, которое, по ее словам, следует применить незамедлительно.
Самая критичная из уязвимостей, CVE-2025-59470, имеет наивысший балл критичности 9 и позволила бы злоумышленнику «совершить нечто пагубное», как отметил Рик Ван Овер, вице-президент Veeam по продуктовой стратегии.
Однако он подчеркнул, что благодаря неизменяемой природе резервных копий данные уничтожить невозможно.
Суть проблемы: Veeam обнаружила, что пользователи с ролями Backup Admin, Backup Operator или Tape Operator в необновленной версии 13 этого пакета (версии 13.0.1.180 и более ранние) обладают избыточными правами. Патч устраняет это.
Конкретно устранены следующие уязвимости:
- CVE-2025-59470 (оценка CVSS 9) позволяет оператору резервного копирования или ленточного накопителя выполнить удаленное выполнение кода (RCE) от имени пользователя Postgres путем отправки вредоносного параметра интервала или порядка;
- CVE-2025-59469 (оценка критичности 7.2) позволяет оператору резервного копирования или ленточного накопителя записывать файлы от имени пользователя root;
- CVE-2025-55125 (оценка критичности 7.2) позволяет оператору резервного копирования или ленточного накопителя выполнить удаленное выполнение кода (RCE) от имени root путем создания вредоносного файла конфигурации резервной копии;
- CVE-2025-59468 (оценка критичности 6.7) позволяет администратору резервного копирования выполнить удаленное выполнение кода (RCE) от имени пользователя Postgres путем отправки вредоносного параметра пароля.
Патч до версии 13.0.1.1071 будет «легко устанавливаемым» и не нарушит работу, сообщил Ван Овер. По состоянию на вторник днем Veeam не получала сообщений об эксплуатации, добавил он.
«Хорошая новость в том, что если сервер Veeam выйдет из строя, мы сможем немедленно создать новый сервер — предположительно, с установленным этим патчем — импортировать резервные копии и продолжить работу. Основные данные совершенно не затронуты», — сказал Ван Овер. «Худший сценарий — это когда среда [резервного копирования] работает некорректно или база данных Postgres на сервере Veeam повреждена, из-за чего задания могут вести себя не так, как ожидалось».
В таких случаях администраторы, использующие систему мониторинга и управления Veeam One, получили бы оповещение, если бы, например, задание не смогло подключиться к серверу резервного копирования или задания резервного копирования завершались с ошибкой.
Четыре уязвимости, которые устраняются патчем, менее серьезны, поскольку для их использования злоумышленнику, внутреннему или внешнему, потребуются действительные учетные данные для трех конкретных ролей, отметил Йоханнес Ульрих, декан по исследованиям в Институте SANS.
С другой стороны, добавил он, системы резервного копирования, такие как Veeam, являются мишенью для злоумышленников, особенно для тех, кто внедряет программы-вымогатели, которые часто пытаются стереть резервные копии.
«Системы резервного копирования следует регулярно проверять, чтобы убедиться, что права доступа, упомянутые в этой уязвимости, правильно управляются и доступны только тем пользователям, которым они действительно необходимы», — сказал он. «Учетные данные для аутентификации следует проверять, чтобы убедиться, что они соответствуют соответствующим стандартам».
Келльман Мегу, ведущий архитектор безопасности в канадской фирме по управлению рисками DeepCove Cybersecurity, заявил, что опасения вызывает то, как уязвимости могут быть использованы злоумышленником для получения прав root для доступа к резервной копии, «что является наихудшим сценарием компрометации. Судя по описанию эксплойта, даже возможность обновить конфигурационный файл может стать путем для выполнения вредоносных команд с наивысшими привилегиями».
Администраторам, которые не могут быстро установить патч или которые использовали необновленные версии в течение длительного времени, следует в первую очередь проверить все конфигурационные файлы и операции, чтобы убедиться в отсутствии изменений в них или выполнения других неожиданных действий. Следует настроить оповещения для каждого запуска процесса резервного копирования, чтобы внимательно отслеживать его до установки исправления для пакета.
«Имейте в виду, — добавил он, — если вы заметите необычное поведение, это признак того, что действует злоумышленник или внутренняя угроза, и вам потребуется принять комплексные меры по реагированию на инциденты».
Эта статья изначально появилась на NetworkWorld.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Qual-score: 7/10
Bayan-score: 0.663501084
Автор – Howard Solomon
