Компания Veeam выпустила срочное обновление для своей флагманской платформы резервного копирования. Две уязвимости, получившие высокие оценки по шкале CVSS, позволяют злоумышленникам нарушить целостность хранимых данных и получить повышенные привилегии в системе. Инцидент затрагивает сотни тысяч организаций по всему миру, которые используют Veeam Backup & Replication для защиты критически важной информации.
Детали уязвимостей
Согласно официальному бюллетеню безопасности от 27 мая 2026 года, уязвимости обнаружены во всех версиях продукта до сборки 13.0.2.29. Речь идёт о двух независимых проблемах, о которых сообщили исследователи через платформу HackerOne (сервис для ответственного раскрытия уязвимостей). Первая из них, CVE-2026-32996, затрагивает компонент Veeam Agent для операционной системы Microsoft Windows. Она позволяет локальному злоумышленнику, уже имеющему доступ к рабочей станции или серверу, повысить свои привилегии до уровня системы. Другими словами, атакующий может получить полный контроль над агентом резервного копирования, а через него - и над данными, которые тот обрабатывает.
Вторая уязвимость, CVE-2026-32997, оказалась ещё опаснее - её оценка CVSS v3.1 составляет 8,6 балла из десяти. Она работает на стороне Veeam Software Appliance - серверного компонента на базе Linux, который является основой инфраструктуры резервного копирования. Для эксплуатации этой проблемы атакующий должен быть аутентифицированным пользователем с ролью Backup Administrator (администратор резервного копирования). При этом ему не нужны права суперпользователя операционной системы: ошибка в логике приложения позволяет записывать произвольные файлы в любую директорию на сервере. Таким образом, администратор резервного копирования, действующий в рамках своих штатных полномочий, может внедрить вредоносный скрипт, изменить конфигурационные файлы или даже перезаписать исполняемые модули самого Veeam.
Почему эти уязвимости важны? Продукты Veeam занимают значительную долю рынка решений для защиты данных. Многие компании доверяют им резервные копии баз данных, виртуальных машин и файловых хранилищ. Если злоумышленник получает контроль над сервером резервного копирования или его агентом, последствия могут быть катастрофическими. Во-первых, нарушается целостность резервных копий - атакующий может незаметно подменить их на зашифрованные или повреждённые версии. Во-вторых, он может уничтожить сами копии, лишив организацию шанса на восстановление после кибератаки. В-третьих, через скомпрометированную инфраструктуру Veeam возможет боковой доступ к другим системам, которые взаимодействуют с резервным копированием.
Особую тревогу вызывает уязвимость CVE-2026-32997, требующая аутентификации. Многие компании назначают роль администратора резервного копирования сотрудникам, которые не обладают полными правами в операционной системе. Однако данная проблема показывает, что даже ограниченная роль в Veeam может быть использована для эскалации атаки. Например, недобросовестный инсайдер или злоумышленник, который ранее скомпрометировал учётные данные администратора резервного копирования, сможет записать скрипт в автозагрузку Linux-сервера и получить постоянный доступ с правами root.
Уязвимость CVE-2026-32996, напротив, не требует аутентификации на сервере - достаточно иметь локальный доступ к системе, где установлен Veeam Agent для Windows. Это может быть рабочий компьютер сотрудника, на котором запущен агент, либо отдельный сервер с агентом. После повышения привилегий злоумышленник получает возможность выполнять произвольный код с наивысшими привилегиями и манипулировать резервными копиями, созданными этим агентом.
Обе проблемы были обнаружены внешними исследователями через программу bug bounty на платформе HackerOne. Первую нашёл специалист под псевдонимом Alibabas, вторую - исследователь Parsa. Компания Veeam поблагодарила их за сотрудничество и выплатила вознаграждения. Важно отметить, что на момент публикации бюллетеня не было зарегистрировано случаев активной эксплуатации этих уязвимостей в реальных атаках. Тем не менее, учитывая высокий интерес злоумышленников к инструментам резервного копирования, пренебрегать обновлением не стоит.
Решение проблемы доступно в виде обновления до версии Veeam Backup & Replication 13.0.2.29. Рекомендуется установить его в кратчайшие сроки, особенно на серверные компоненты, развёрнутые в операционных системах Linux. Для агентов под Windows обновление также необходимо, хотя оно имеет меньшую оценку критичности. Администраторам следует проверить, какие версии агентов используются в инфраструктуре, и обновить их централизованно или через механизмы автоматической доставки патчей.
В заключение можно сказать, что этот инцидент лишний раз напоминает: даже зрелые и хорошо защищённые продукты не застрахованы от ошибок в логике. Уязвимости в решениях для резервного копирования особенно опасны, потому что атака на них может свести на нет все усилия по обеспечению отказоустойчивости. Поэтому своевременное обновление должно стать обязательным элементом политики кибербезопасности любой организации, использующей Veeam Backup & Replication.
Ссылки
