Компания Veeam выпустила экстренные обновления безопасности для двух своих продуктов: системы мониторинга Veeam ONE и консоли управления для сервис-провайдеров Veeam Service Provider Console. Наибольшую опасность представляет уязвимость CVE-2026-32998, получившая по шкале CVSS (Common Vulnerability Scoring System - стандартная система оценки критичности уязвимостей) максимальные 9,4 балла из 10. Это означает, что злоумышленник может удаленно выполнить произвольный код на сервере, используя данную брешь.
Детали уязвимостей
Проблема была обнаружена исследователем под псевдонимом putsi через платформу HackerOne и устранена в версии Veeam Service Provider Console 9.2.1.33875. Уязвимость затрагивает все сборки 9.2.0.x, а также более ранние релизы девятой ветки. Разработчики оперативно выпустили патчи, однако стоит отметить, что по умолчанию в версии 9.2 функция, позволяющая эксплуатировать эту брешь, отключена. Речь идет о механизме выполнения скриптов в рамках настроек алармов (оповещений). Если администратор не активировал его вручную, система не подвержена риску.
Тем не менее, проверять конфигурацию все равно необходимо. Для этого на сервере Veeam Service Provider Console нужно открыть файл конфигурации по пути "C:\ProgramData\Veeam\Veeam Availability Console\Configuration\Service\configuration.overrides.json" и найти параметр ""AlarmManagement_ScriptExecutionEnabled"". Если он установлен в "true", значит, уязвимость может быть использована. В таком случае до установки обновления стоит изменить значение на "false" и перезапустить службу Veeam Management Portal.
Атакующий, который получил доступ к консоли провайдера (например, через компрометацию учетной записи), может запустить на сервере любую команду. Это приведет к полному контролю над системой, краже данных резервных копий, шифрованию хранилищ программами-вымогателями или проникновению в инфраструктуру клиентов. Учитывая, что Veeam используется в основном крупными компаниями и сервис-провайдерами, последствия такой атаки были бы катастрофическими.
Одновременно с этим Veeam закрыла еще несколько уязвимостей в продукте Veeam ONE, который предназначен для мониторинга виртуальной инфраструктуры и резервного копирования. Версия 13.0.2.6723 содержит исправления, связанные с обновлением сторонних библиотек: в частности, заменен компонент AutoMapper на MagicMapper, а также повышены версии пакетов dompurify, postcss, uuid и других. Хотя конкретные CVE для этих изменений не указаны, подобные обновления обычно устраняют потенциальные бреши безопасности, связанные с обработкой пользовательского ввода или межсайтовым скриптингом.
Аналогичный набор обновлений получила и Veeam Service Provider Console версии 9.2.1.33875: помимо исправления CVE-2026-32998, разработчики обновили axios, lodash, vite и ряд других зависимостей. Важно отметить, что все перечисленные в бюллетенях компоненты являются открытыми библиотеками, которые могли содержать ошибки, потенциально ведущие к атакам.
Для специалистов по информационной безопасности сейчас главная задача - оперативно проверить используемые версии продуктов и установить обновления. Если по каким-то причинам немедленный апгрейд невозможен, нужно как минимум убедиться, что в Veeam Service Provider Console параметр выполнения скриптов отключен. Кроме того, рекомендуется временно ограничить доступ к панели управления Veeam только доверенными IP-адресами и усилить аутентификацию.
Стоит подчеркнуть, что Veeam придерживается политики ответственного раскрытия уязвимостей. Компания запускает программу поощрения исследователей и проводит внутренние аудиты кода. Тем не менее, как только информация о бреши становится публичной, злоумышленники начинают активно искать уязвимые установки. Поэтому затягивать с установкой патчей крайне опасно.
Подводя итог, можно сказать, что майское обновление Veeam закрыло как минимум одну критическую уязвимость, способную полностью скомпрометировать системы управления резервным копированием. Провайдерам услуг и корпоративным клиентам следует незамедлительно обновить Veeam Service Provider Console до версии 9.2.1.33875, а Veeam ONE - до версии 13.0.2.6723. Эти меры позволят избежать потенциального взлома и сохранить целостность данных.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-32998
- https://www.veeam.com/kb4858
- https://www.veeam.com/kb4856
- https://www.veeam.com/kb4853
