Veeam waarschuwt voor een kritieke Remote Code Execution (RCE)-kwetsbaarheid die cybercrimininelen in staat stelt back-up servers te hacken. In het bijzonder back-up servers die aan een specifiek domein zijn gebonden.
De nieuwe kwetsbaarheid, genaamd CVE-2025-23120, is wat bekend staat als een deserialization-kwetsbaarheid in Veeam.Backup.EsxManager,xmlFrameworkDs en Veeam.backup.Core.BackupSummarry .NET classes, stellen onderzoekers van watchTowr Labs in een nader onderzoek.
Een deserialization-kwetsbaarheid doet zich voor wanneer een applicatie verkeerd geserialiseerde data verwerkt. Hierdoor kunnen hackers kwaadaardige objecten of gadgets injecteren die (op afstand) kwaadaardige acties kunnen uitvoeren.
Dit cybergevaar worden misbruikt door gebruikers die horen bij een lokale user group op de Windows-host van een Veeam Backup & Replication server. Wanneer deze server aan een domein is gekoppeld, kunnen alle eindgebruikers van dit domein de kwetsbaarheid misbruiken en op afstand (kwaadwillende) code draaien.
Nieuwe gadget-chain
Veeam heeft al langer last van eerdere deserialization-fouten in zijn software. Het heeft ook een blacklist uitgebracht met alle objecten en classes die kwaadaardige acties kunnen uitvoeren. Volgens de onderzoekers is deze lijst echter niet compleet en hebben voor CVE-2025-23120 nu een nieuwe gadget-chain ontdekt die hackers kunnen misbruiken.
De recent gevonden RCE-kwetsbaarheid is wel alleen te misbruiken als cybercriminelen zich met succes weten te authenticeren. Volgens de experts van watchTowr is dit heel makkelijk. Dit komt door het feit dat zij vinden dat de authenticatievereisten van Veeam Backup & Replication niet goed zijn beveiligd en gevonden kwetsbaarheden hierdoor serieuze risico’s kunnen opleveren.
Patch beschikbaar
De kwetsbaarheid treft Veeam Backup & Replication versie 12.3.0.310 en alle eerdere versie 12 builds. Veeam heeft inmiddels een patch uitgebracht en eindgebruikers worden met klem aangeraden snel naar versie 12.3.1 (build 12.3.1.1139) te upgraden.
Veeam Backup & Replication heeft vaker last van kwetsbaarheden, zoals ook watchTowr aangeeft. Eind vorig jaar werden voor deze oplossing maar liefst zes patches uitgebracht.
Lees ook: Veeam getroffen door kritieke kwetsbaarheden, patchen nodig