В Банке данных угроз (BDU) были зарегистрированы две серьезные уязвимости в популярном решении для резервного копирования Veeam Backup & Replication. Эти уязвимости, получившие идентификаторы BDU:2026-05181 (CVE-2026-21667) и BDU:2026-05182 (CVE-2026-21669), затрагивают все современные версии платформы и позволяют удаленному злоумышленнику выполнить произвольный код на сервере. Учитывая критическую роль систем резервного копирования, успешная эксплуатация данных недостатков может привести к полной компрометации стратегически важных данных и инфраструктуры.
Детали уязвимостей
Обе уязвимости относятся к классу ошибок контроля доступа (CWE-284). Проще говоря, в механизмах разграничения прав доступа в продукте Veeam были обнаружены изъяны. Как следствие, атакующий, обладающий первоначальными привилегиями обычного авторизованного пользователя (PR:L), может обойти существующие ограничения. В результате он получает возможность выполнить на сервере резервного копирования любой код по своему усмотрению. Это классический пример эскалации привилегий, ведущий к полному контролю над системой.
Поражаемые версии программного обеспечения охватывают две основные ветки релизов. Первая уязвимость (CVE-2026-21667) существует в линейке версий 12.x, начиная с 12.0 и вплоть до 12.3.2.4165 включительно. Вторая (CVE-2026-21669) затрагивает новую ветку 13.x, от 13.0 до 13.0.1.1071. Таким образом, под угрозой оказывается подавляющее большинство установленных в настоящее время экземпляров Veeam Backup & Replication. Производитель, компания Veeam Software AG, уже подтвердил наличие этих недостатков безопасности и выпустил исправления.
Уровень опасности обеих уязвимостей оценен как критический. По шкале CVSS 3.1 им присвоен базовый балл 9.9 из 10. Это максимально высокий показатель, который подчеркивает серьезность угрозы. Высокая оценка обусловлена несколькими факторами. Во-первых, для атаки не требуется взаимодействие с пользователем (UI:N). Во-вторых, уязвимость может быть использована удаленно через сеть (AV:N). В-третьих, ее эксплуатация оказывает воздействие на все компоненты конфиденциальности, целостности и доступности системы (C:H/I:H/A:H). Кроме того, уязвимость оказывает влияние на другие компоненты, смежные с уязвимым сервером (S:C), что потенциально открывает путь для атаки на всю инфраструктуру резервного копирования.
Основным вектором атаки, согласно описанию, является нарушение авторизации. На практике это означает, что злоумышленник, который уже смог получить доступ к консоли управления с правами пользователя, может использовать эти уязвимости для получения полных административных привилегий. Получив контроль над сервером Veeam, атакующий может сделать несколько опасных вещей. Например, он может удалить или зашифровать резервные копии, сделав восстановление данных после инцидента с программой-вымогателем (ransomware) невозможным. Также он может подменить резервные копии вредоносным кодом, чтобы обеспечить себе постоянное присутствие (persistence) в инфраструктуре жертвы даже после очистки основных систем. Более того, учитывая высокий уровень доверия к системам резервного копирования, такой компрометированный сервер может стать идеальной точкой для скрытого латерального перемещения по сети.
На текущий момент информация о наличии публичных эксплойтов, использующих эти уязвимости, уточняется. Однако практика показывает, что критические уязвимости в столь распространенном ПО становятся приоритетной целью для исследователей и злоумышленников. В частности, подобные уязвимости в средствах обеспечения отказоустойчивости и восстановления часто интересуют сложные группы APT, поскольку позволяют подорвать основу процесса восстановления после инцидента.
Производитель оперативно отреагировал на обнаруженные проблемы. Для устранения уязвимостей выпущены соответствующие обновления безопасности. Пользователям ветки 12.x необходимо обратиться к рекомендациям в статье базы знаний KB4830 и установить актуальные патчи. Для пользователей ветки 13.x исправления описаны в статье KB4831. Способом устранения риска является исключительно обновление программного обеспечения до защищенной версии. Администраторам следует как можно скорее запланировать и провести установку этих обновлений в рамках регулярного цикла обслуживания.
В заключение, обнаруженные уязвимости в Veeam Backup & Replication представляют собой значительный риск для организаций любого масштаба. Они подрывают саму цель существования системы резервного копирования - быть надежным и безопасным последним рубежом защиты данных. Своевременная установка патчей является не просто рекомендацией, а обязательным действием для обеспечения непрерывности бизнеса и защиты от потенциально разрушительных кибератак.
Ссылки
- https://bdu.fstec.ru/vul/2026-05181
- https://bdu.fstec.ru/vul/2026-05182
- https://www.cve.org/CVERecord?id=CVE-2026-21667
- https://www.cve.org/CVERecord?id=CVE-2026-21669
- https://www.veeam.com/kb4830
- https://www.veeam.com/kb4831
