Критическая уязвимость в Veeam Backup & Replication угрожает корпоративным системам резервного копирования

vulnerability

В Банке данных угроз безопасности информации (BDU) появилась запись об уязвимости, которая получила идентификатор  BDU:2026-09346 (CVE-2026-44963). Речь идёт о популярном решении для резервного копирования Veeam Backup & Replication. Уязвимость затрагивает все версии продукта вплоть до 12.3.2.4854 включительно. Производитель, компания Veeam Software AG, уже выпустил исправление. Однако ситуация осложняется тем, что в открытом доступе существует рабочий эксплойт.

Детали уязвимости

Уязвимость кроется в механизме десериализации данных. Если говорить простым языком, сервер некорректно обрабатывает входящие пакеты, которые содержат сериализованные объекты. Десериализация - это процесс восстановления структуры данных из бинарного формата. Когда злоумышленник отправляет на сервер специально сформированный запрос, он может подсунуть вредоносную нагрузку. В результате атакующий получает возможность выполнить произвольный код на уязвимом сервере. Причём для этого не нужно иметь физический доступ к оборудованию - достаточно сетевого соединения. Правда, для успешной атаки необходимо пройти аутентификацию. Это немного снижает риск, но не делает уязвимость безопасной.

Класс ошибки в классификации CWE - CWE-502, то есть восстановление в памяти недостоверных данных. В документации Veeam эта проблема описана как недостаток механизма десериализации. Важно подчеркнуть: сам производитель подтвердил наличие уязвимости и выпустил обновление.

По шкале CVSS версии 3.1 базовая оценка составила 9,9 балла из десяти возможных. Это критический уровень. По версии CVSS 2.0 оценка чуть ниже - 9 баллов, что тоже соответствует высокому уровню опасности. В четвёртой версии стандарта показатель равен 9,4. Столь высокие цифры объясняются тем, что атака не требует сложных условий.

Вектор уязвимости выглядит следующим образом: сетевой доступ (AV:N), низкая сложность атаки (AC:L), для эксплуатации нужна учётная запись (PR:L), взаимодействие с пользователем не требуется (UI:N). При этом последствия затрагивают конфиденциальность, целостность и доступность - все три параметра оценены как высокие. Более того, атака может повлиять не только на сам сервер, но и на сопутствующие системы, так как стоит флаг Scope: Changed.

Veeam Backup & Replication - одна из самых распространённых систем резервного копирования в корпоративном сегменте. Её используют компании любого масштаба: от малого бизнеса до крупных государственных учреждений. Сервер резервного копирования хранит копии критически важных данных, баз данных, конфигураций. Если злоумышленник получает контроль над таким сервером, он может не только украсть информацию, но и уничтожить резервные копии.

В результате компания рискует остаться без возможности восстановления после потенциальной атаки. Особенно опасно это в контексте программ-вымогателей, которые часто целенаправленно выискивают и шифруют резервные копии. Уязвимость в Veeam открывает дополнительный вектор для таких атак.

Кроме того, в открытом доступе уже есть рабочий эксплойт. Это означает, что атаку может повторить любой желающий, обладающий базовыми техническими навыками. Хотя для эксплуатации требуется аутентификация, многие администраторы используют учётные записи с избыточными правами или стандартные пароли. Такая практика многократно повышает риск.

Производитель рекомендует немедленно обновить Veeam Backup & Replication до версии 12.3.2.4854 или новее. Ссылка на бюллетень безопасности - kb4869 на официальном сайте Veeam. Это самый надёжный способ устранить уязвимость.

Однако если обновление по каким-то причинам невозможно, можно применить компенсирующие меры. Во-первых, стоит сегментировать сеть, чтобы ограничить доступ к уязвимому серверу из других сегментов. Во-вторых, необходимо использовать системы класса SIEM для отслеживания подозрительной активности. Они помогут вовремя заметить попытки эксплуатации.

Также настоятельно рекомендуется организовать удалённый доступ только через виртуальные частные сети (VPN) и полностью ограничить доступ к серверу из внешних сетей, в том числе из интернета. Если же сервер резервного копирования должен быть доступен извне, необходимо настроить строгие правила межсетевого экрана и многофакторную аутентификацию.

Эксперты из компании SecureLayer7 опубликовали разбор уязвимости в своём блоге. Они указывают, что обойти механизмы защиты удалось благодаря специфической конфигурации сериализации. Подробности пока не раскрываются полностью, но сам факт наличия публичного эксплойта подтверждает серьёзность ситуации.

Для организаций, использующих Veeam Backup & Replication, эта уязвимость представляет прямую угрозу непрерывности бизнеса. Если злоумышленник успешно атакует сервер, он может не только получить доступ ко всем резервным копиям, но и установить туда программы-вымогатели. В таком случае восстановление данных станет невозможным без уплаты выкупа. Более того, через скомпрометированный сервер атакующий может попытаться распространить атаку на другие системы внутри сети. Поэтому специалистам по безопасности стоит рассматривать данный инцидент как повод для внеочередной ревизии настроек и политик доступа.

Публичный эксплойт и высокий уровень опасности делают уязвимость одной из самых актуальных тем в сфере кибербезопасности на текущей неделе. Рекомендуется проверить версию продукта и принять меры до того, как инцидент произойдёт в вашей организации.

Ссылки

Комментарии: 0