Veeamは、重大なリモートコード実行(RCE)脆弱性を含む、Backup & Replicationソフトウェアにおける複数のセキュリティ欠陥を修正するためのセキュリティ更新を公開しました。
CVE-2025-59470として追跡されているこのRCEのセキュリティ欠陥は、Veeam Backup & Replication 13.0.1.180およびそれ以前のすべてのバージョン13ビルドに影響します。
「この脆弱性により、バックアップオペレーターまたはテープオペレーターが、悪意のあるintervalまたはorderパラメータを送信することで、postgresユーザーとしてリモートコード実行(RCE)を行えるようになります」とVeeamは火曜日のアドバイザリで説明しました 。
しかし、この情報技術企業は、バックアップオペレーターまたはテープオペレーターのロールを持つ攻撃者にしか悪用できないため、評価を高深刻度へと調整しました。
「バックアップおよびテープオペレーターのロールは高い権限を持つロールと見なされ、そのように保護されるべきです。Veeamが推奨するセキュリティガイドラインに従うことで、悪用可能性の機会をさらに減らせます」と同社は付け加えました。
Veeamは1月6日にバージョン13.0.1.1071をリリース し、CVE-2025-59470を修正するとともに、悪意のあるバックアップまたはテープオペレーターが、悪意のあるバックアップ設定ファイルを作成することでリモートコード実行を得られる高深刻度(CVE-2025-55125)の脆弱性と、悪意のあるpasswordパラメータを送信することでリモートコード実行を得られる中深刻度(CVE-2025-59468)の脆弱性という、他の2件の脆弱性にも対処しました。
VeeamのBackup & Replication(VBR)エンタープライズ向けデータバックアップおよび復旧ソフトウェアは、重要なデータやアプリケーションのコピーを作成し、サイバー攻撃、ハードウェア障害、または災害の後に迅速に復元できるようにします。
Veeamの欠陥がランサムウェア集団に狙われる
VBRは中堅から大企業やマネージドサービスプロバイダーの間で特に人気がありますが、被害者環境内での横展開(ラテラルムーブメント)のための迅速な足がかりになり得るため、ランサムウェア集団からもしばしば標的にされています。
ランサムウェア集団は以前、被害者のVBRサーバーを常に狙うとBleepingComputerに語っており、これはデータ窃取を容易にし、ランサムウェアのペイロードを展開する前にバックアップを削除して復旧作業を妨害しやすくなるためです。
Cubaランサムウェア集団や、金銭目的のFIN7脅威グループ(以前にConti、REvil、Maze、Egregor、BlackBastaの各ランサムウェア集団と協力していた)も、過去にVBRの脆弱性を標的とした攻撃との関連が指摘されています。
より最近では、Sophos X-Opsのインシデント対応担当者が2024年11月に、Fragランサムウェアが、2か月前に公開された 別のVBRのRCE脆弱性(CVE-2024-40711)を悪用していたことを明らかにしました。同じセキュリティ欠陥は、2024年10月以降、脆弱なVeeamバックアップサーバーを標的としたAkiraおよびFogランサムウェア攻撃でも使用されました。
Veeamの製品は世界中で55万社を超える顧客に利用されており、Global 2,000企業の74%およびFortune 500企業の82%が含まれます。
