バックアップリポジトリは伝統的に防御の最終砦と見なされてきましたが、Veeamは最近、これらのシステム自体が侵入の主要な経路となり得ることを痛烈に思い起こさせました。同社はVeeam Backup & Replication向けに重大なセキュリティパッチを公開し、一連の脆弱性、とりわけリモートコード実行(RCE)を可能にするエクスプロイトに対処しました。
これらの欠陥の中で最も注目すべきものはCVE-2025-59470(CVSSスコア:9.0)として識別されています。Veeamの技術アドバイザリによると、Backup OperatorまたはTape Operatorのロールを持つ攻撃者は、悪意のあるintervalまたはorderパラメータを注入することで、postgresユーザーの権限でRCEを達成できます。重要な点として、VeeamはCVSSが「重大(critical)」評価であるにもかかわらず、これを「高(high)深刻度」に分類しています。これは、事前に管理者権限が必要であること、そしてVeeamのハードニングガイドラインに従っていれば悪用リスクが大幅に軽減されるという前提に起因します。
これらのロールに付与される権限は確かに広範です。Backup Operatorはジョブ実行の管理、バックアップのエクスポートまたは複製、そしてVeeamZipアーカイブの生成を行えます。同様に、Tape Operatorはテープベースのワークフローを監督し、カタログ作成、テープ消去、および資格情報管理を含みます。堅牢に構成された環境では、このような高権限アカウントへのアクセスは厳格に制限し、厳密な監査の対象とすべきです。
主要な脆弱性に加えて、同一製品ライン内でさらに3つの欠陥が修正されました:
- CVE-2025-55125(CVSS:7.2):侵害されたバックアップ構成ファイルを介して、BackupまたはTape OperatorがrootレベルのRCEを達成できるようにします。
- CVE-2025-59468(CVSS:6.7):Backup Administratorが
passwordパラメータを介してpostgresとしてコードを実行できるようにします。 - CVE-2025-59469(CVSS:7.2):BackupまたはTape Operatorにroot権限でファイルを書き込む能力を付与します。
これらの脆弱性はVeeam Backup & Replication 13.0.1.180およびv13系統のそれ以前のビルドに影響し、修正はバージョン13.0.1.1071で提供されています。Veeamは現時点で実環境における積極的な悪用の証拠を確認していないものの、直ちにパッチを適用することが強く推奨されます。バックアップソリューションは、ランサムウェア集団や侵害後活動者にとって恒常的な標的であり、バックアップサーバーを支配することは、しばしば組織の復旧インフラ全体への無制限のアクセスを意味するためです。
