Veeamは、ドメイン参加済みのバックアップサーバーでリモートコード実行(RCE)を可能にするBackup & Replicationの重大なセキュリティ欠陥を修正するセキュリティアップデートをリリースしました。
この脆弱性(CVE-2026-44963として追跡されており、WatchTowrのセキュリティ研究者Sina Kheirkhahによって報告)は、Veeam Backup & Replication(VBR)12.3.2.4465および12系の全旧バージョンビルドに影響し、バージョン12.3.2.4854で修正されました。
低権限のドメインユーザーであれば誰でもこの脆弱性を悪用できますが、影響を受けるのはドメインに参加しているVeeam Backup & Replicationのインストールに限られます。
「認証済みのドメインユーザーによってバックアップサーバー上でリモートコード実行(RCE)が可能になる脆弱性です」とVeeamは火曜日のアドバイザリで述べています。「バージョン13からのアーキテクチャ変更により、この脆弱性はVeeam Backup & Replicationのバージョン13.x系のビルドには影響しません。」
しかし残念ながら、多くの企業がVeeamの長年のベストプラクティスを無視し、VeeamサーバーをWindowsドメインに参加させています。
現時点では積極的な悪用は報告されていませんが、Veeamは、パッチがリリースされるとすぐに攻撃者がエクスプロイトの開発に着手することが多いと警告しています。
「脆弱性とそれに関連するパッチが公開されると、攻撃者はパッチをリバースエンジニアリングし、パッチ未適用のVeeamソフトウェアを悪用しようとする可能性が高いことに注意が必要です」と同社は付け加えました。「この現実は、すべてのお客様が最新バージョンのソフトウェアを使用し、すべてのアップデートとパッチを遅滞なくインストールすることの重要性を強く示しています。」
ランサムウェア攻撃の頻繁な標的
ランサムウェアグループはかつてBleepingComputerに対し、機密データの窃取、侵害されたネットワーク内での横展開、そして被害者のバックアップを削除することによる復旧阻止を目的として、常にVeeamのバックアップサーバーを標的にしていると語っています。
近年、サイバーセキュリティ・インフラセキュリティ庁(CISA)はVeeam Backup & Replicationの4件の脆弱性を実際の攻撃で積極的に悪用されているとして警告しており、いずれもランサムウェアグループによって悪用されています。
例えば、2024年11月にはSophos X-OpsがVBRの別の重大なRCE脆弱性(CVE-2024-40711)が複数のランサムウェアグループによって武器化されていたと報告しており、AkiraおよびFog、そしてFragランサムウェアグループによる悪用が確認されています。
金銭的な動機を持つ脅威グループFIN7(Maze、Egregor、Conti、REvil、BlackBastaといったランサムウェアグループと頻繁に協力していた)とCubaランサムウェアグループも、VBRのセキュリティ上の欠陥を標的とした攻撃に関与していることが明らかになっています。
Veeamの製品は、Fortune 500企業の82%、グローバル2,000社の74%を含む、世界中の55万社以上の顧客に利用されています。
攻撃者より先に、すべてのレイヤーをテスト
セキュリティチームが記録できる攻撃成功件数はわずか54%、アラートが発せられるのはそのうちの14%にすぎません。残りの攻撃は、環境内を検知されることなく移動しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)がSIEMやEDRのルールをテストし、脅威が検知をすり抜けないようにする方法を解説しています。
