TokyoBlackHatNews

csoonline.com 5分で読了

Veeam Backupスイートの脆弱性によりリモートコード実行や悪意あるバックアップ設定ファイルの作成が可能に

ベンダーは主力のBackup & Replicationスイートにある4つの脆弱性を塞ぐパッチを公開した。バージョン13のユーザーには、バックアップ設定ファイルの監査とバックアップジョブの厳重な監視が推奨される。

Veeamは、主力のBackup & Replicationスイートで特定の監督権限ロールを持つ人物が、バックアップデータベースに深刻な損害を与えることを可能にする可能性がある4つの脆弱性について述べている。ただし、破壊はできないという。

同社はすでにこれらのバグに対するパッチを公開しており、直ちに適用すべきだとしている。

最も深刻な脆弱性であるCVE-2025-59470は深刻度スコア9で、脅威アクターが「何か悪意あることを行う」ことを可能にすると、Veeamのプロダクト戦略担当バイスプレジデントであるRick Vanover氏は述べた。

ただし彼は、バックアップがイミュータブル(不変)である性質のため、データは破壊できないと強調した。

問題はこうだ。Veeamは、スイートの未パッチ適用のバージョン13(13.0.1.180以前)において、Backup Admin、Backup Operator、またはTape Operatorのロールを持つ人物が、本来よりも多くの権限を持っていることを発見した。パッチはそれを修正する。

具体的に、対処される欠陥は次のとおり:

  • CVE-2025-59470(CVSSスコア9):悪意あるintervalまたはorderパラメータを送信することで、BackupまたはTape OperatorがPostgresユーザーとしてリモートコード実行(RCE)を行える。
  • CVE-2025-59469(深刻度スコア7.2):BackupまたはTape Operatorがrootとしてファイルを書き込める。
  • CVE-2025-55125(深刻度スコア7.2):悪意あるバックアップ設定ファイルを作成することで、BackupまたはTape Operatorがrootとしてリモートコード実行(RCE)を行える。
  • CVE-2025-59468(深刻度スコア6.7):悪意あるpasswordパラメータを送信することで、Backup AdministratorがPostgresユーザーとしてリモートコード実行(RCE)を行える。

Vanover氏によれば、バージョン13.0.1.1071へのパッチは「簡単にインストール」でき、業務を妨げることはないという。さらに同氏は、火曜日午後の時点でVeeamは悪用の報告を受けていないと付け加えた。

「良いニュースは、Veeamサーバーが壊れても、すぐに新しいサーバーを作成できることです。おそらくこのパッチを適用した状態で、バックアップをインポートして継続できます。中核データはこれによってまったく影響を受けません」とVanover氏は述べた。「最悪のケースは、[バックアップ]環境が正しく動作しない、あるいはVeeamサーバー上のPostgresデータベースが壊れて、ジョブが期待どおりに振る舞わない可能性があることです。」

こうした場合、Veeam Oneの監視・管理スイートを使用している管理者は、例えばジョブがバックアップサーバーに接続できない、またはバックアップジョブが失敗しているといった場合にアラートを受け取る。

パッチ対象の4つの脆弱性は、攻撃者(内部・外部を問わず)が3つの特定ロールに対する有効な認証情報を必要とするため、いくつかの脆弱性ほど深刻ではないと、SANS Instituteの研究部門ディーンであるJohannes Ullrich氏は指摘した。

一方で同氏は、Veeamのようなバックアップシステムは攻撃者、とりわけランサムウェアを注入する者たちの標的であり、彼らはしばしばバックアップの消去を試みると付け加えた。

「バックアップシステムは定期的に監査し、この脆弱性で言及されているようなアクセス権が適切に管理され、実際に必要とするユーザーだけがアクセスできるようにすべきです」と同氏は述べた。「認証情報は、各標準に準拠していることを確認するために見直すべきです。」

カナダ拠点のリスク管理企業DeepCove Cybersecurityの主任セキュリティアーキテクトであるKellman Meghu氏は、懸念点は脅威アクターがこれらの脆弱性を利用してバックアップに対するroot権限を得る方法にあると述べた。「侵害という観点では、これ以上悪い状況はありません。エクスプロイトの内容からすると、設定ファイルを更新できるだけで、最高権限で悪意あるコマンドを実行する経路になり得ます。」

迅速にパッチを適用できない管理者、または未パッチのバージョンを一定期間運用してきた管理者は、まずすべての設定ファイルと操作を監査し、設定ファイルの変更や想定外の追加アクションの実行がないことを確認すべきだ。スイートにパッチを適用できるまで厳重に監視できるよう、すべてのバックアッププロセス実行に対してアラートを設定すべきである。

「念のため言っておくと」と同氏は付け加えた。「もし異常な挙動が見られるなら、それは悪意あるアクターや内部脅威が活動している兆候であり、包括的なインシデント対応を取る必要があります。」

翻訳元: https://www.csoonline.com/article/4114165/holes-in-veeam-backup-suite-allow-remote-code-execution-creation-of-malicious-backup-config-files-2.html

ソース: csoonline.com
#Backup & Replication #CVE-2025-55125 #CVE-2025-59470 #Veeam #バックアップ設定ファイル改ざん #パッチ適用 #ランサムウェア対策 #リモートコード実行(RCE) #権限昇格 #脆弱性

関連記事

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く

トランプ大統領、撤回したAI大統領令の一部をサイバーセキュリティ重視の指令として復活