Veeam Backup & Replicationにおける重大なリモートコード実行の脆弱性が明らかになりました。この脆弱性が悪用された場合、バックアップインフラへの侵害を許す可能性があり、データ保護・復旧基盤としてこのプラットフォームに依存している企業環境にとって深刻なリスクとなります。
Veeamはこの脆弱性をCVE-2026-44963として公開し、CVSS v4スコアを9.4(クリティカル)と評価しました。公式アドバイザリ(KB ID: 4869)によると、この脆弱性を利用することで、認証済みのドメインユーザーがバックアップサーバー上で任意のコードを実行できます。
この種のアクセス権限が悪用された場合、バックアップの改ざんや削除、ランサムウェアの展開、ネットワーク内での横展開(ラテラルムーブメント)などが可能になります。この脆弱性はWatchTowrのセキュリティ研究者Sina Kheirkhahによって報告されており、企業環境における認証情報の侵害がいかに継続的なリスクをもたらすかが改めて浮き彫りとなっています。
影響を受けるバージョン
本脆弱性は、Veeam Backup & Replicationバージョン12.3.2.4465およびそれ以前のすべてのバージョン12系ビルド(バージョン12.0〜12.3.1を含む)に影響します。なお、影響を受けるのはドメインに参加しているバックアップサーバーのみで、ワークグループ構成での展開は対象外となります。
Veeamはまた、バージョン13.xについてはアーキテクチャの改善により本脆弱性の影響を受けないことを確認しています。ただし、サポートが終了したレガシーバージョンは依然として危険にさらされている可能性が高く、リスクがあるものとして扱うべきです。
悪用には認証済みのドメインアクセスが必要ですが、実際の攻撃シナリオにおいてこれが脅威を大幅に軽減するわけではありません。攻撃者はフィッシング、認証情報のダンプ、ラテラルムーブメントといった手法を駆使して有効な認証情報を入手することが多いためです。
一度侵入に成功した攻撃者は、この脆弱性を利用してバックアップサーバー上でコマンドを実行し、バックアップを改ざん・暗号化して永続的なアクセスを確立し、バックアップシステムをさらなる侵害への足がかりとして悪用できます。バックアップインフラはランサムウェア攻撃の主要ターゲットになりやすく、復旧手段を封じることで被害者への支払い圧力を高める狙いがあります。
この問題への対応として、Veeamは修正済みバージョンであるVeeam Backup & Replication 12.3.2.4854をリリースし、顧客に対して直ちにアップグレードするよう強く呼びかけています。セキュリティ専門家は、パッチが公開されると攻撃者がリバースエンジニアリングによって悪用コードを開発することが多いため、パッチ適用の遅延は特に危険であると警告しています。
組織は遅滞なく更新プログラムを適用するとともに、可能な限りバックアップサーバーをドメインに参加させないようにし、厳格なアクセス制御を徹底することが推奨されます。さらに、ネットワークのセグメンテーション、最小権限の原則の徹底、バックアップシステムの継続的な監視といった追加対策も、攻撃対象領域の縮小に効果的です。
今回の脆弱性は、バックアップインフラの保護が引き続きいかに重要であるかを改めて示しています。業務の妨害と金銭的利益の最大化を狙う脅威アクターにとって、バックアップシステムは依然として格好の標的であり続けています。
翻訳元: https://gbhackers.com/critical-veeam-flaw/
