Розробники Veeam патчать критичну вразливість віддаленого виконання коду (CVE-2025-23120) у Backup & Replication. Проблема зачіпає domain-joined установки.

Уразливість зачіпає Veeam Backup & Replication версії 12.3.0.310, а також усі попередні збірки 12-ї версії. Проблема отримала 9,9 бала з 10 можливих за шкалою CVSS і була усунена у версії 12.3.1 (build 12.3.1.1139), що вийшла минулого тижня.

Згідно зі звітом фахівців компанії watchTowr Labs, які виявили цю помилку, CVE-2025-23120 є проблемою десеріалізації в .NET класах Veeam.Backup.EsxManager.xmlFrameworkDs і Veeam.Backup.Core.BackupSummary. Тобто застосунок неправильно обробляє серіалізовані дані, що дає змогу впроваджувати шкідливі об’єкти та гаджети, які можуть виконувати небезпечний код.

Минулого року розробники вже виправили схожу RCE-проблему, пов’язану з десеріалізацією. Для її усунення у Veeam додали чорний список відомих класів і об’єктів, які могли експлуатуватися для атаки.

Однак тепер дослідники знайшли інший ланцюжок гаджетів, який не потрапив до чорного списку і теж міг застосовуватися для віддаленого виконання коду.

Експерти зазначають, що CVE-2025-23120 зачіпає тільки ті установки Veeam Backup & Replication, які підключені до домену. Однак це означає, що будь-який користувач домену може використовувати вразливість, що спрощує її експлуатацію.

Дослідники констатують, що багато компаній підключають сервери Veeam до домену Windows, ігноруючи численні рекомендації з безпеки. Через це здирницькі угруповання нерідко націлюються на сервери Veeam Backup & Replication, оскільки це дає змогу без зусиль викрасти дані та заблокувати спроби відновлення даних шляхом видалення резервних копій.

Компаніям, що використовують Veeam Backup & Replication, рекомендується якомога швидше оновитися до версії 12.3.1.