Veeam Backup & Replicationの重大な脆弱性により、認証されたユーザーがバックアップサーバー上でコードを実行できる可能性があり、緊急のパッチ適用を求める声が上がっています。
バックアップベンダーのVeeamは、広く使用されているバックアップおよびレプリケーションプラットフォームの複数の脆弱性をパッチするセキュリティアップデートをリリースしました。これには、認証されたユーザーがバックアップサーバー上でコードを実行できる可能性のある3つの重大な欠陥が含まれています。
同社のアドバイザリKB4830に詳述されているように、これらの脆弱性はVeeam Backup & Replication 12.3.2.4165および以前のバージョン12ビルドに影響し、修正はビルド12.3.2.4465で利用可能になりました。この開示は合計5つのセキュリティ問題をカバーしており、3つのリモートコード実行(RCE)バグと、ファイル操作または権限昇格を可能にする2つの高深刻度の脆弱性が含まれています。
3つの重大な欠陥はそれぞれCVSS 10点満点中9.9のスコアを持ち、認定されたユーザーが特定の条件下でバックアップインフラストラクチャコンポーネント上でコードを実行できます。
バックアップシステムは標的として、特にランサムウェアオペレーターにとって、ますます価値が高くなっています。なぜなら、これらを侵害すると、復旧機能を損ない、規模に応じたデータの破壊または流出を可能にする可能性があるためです。
権限昇格とRCEを可能にする欠陥
アドバイザリで対処されている最も深刻な問題は、認証されたドメインユーザーが利用してVeeam Backup ServerまたはAssociated Componentsでコードを実行できるRCEバグです。実際には、これは、侵害された認証情報などを通じてすでに環境内のある程度のアクセスを持っている攻撃者が、この欠陥を活用してバックアップインフラストラクチャを制御することができることを意味します。3つのバグはCVE-2026-21666、CVE-2026-21667、およびCVE-2026-21708として追跡されています。
アドバイザリはまた、2つの高深刻度の欠陥の詳細も説明しています。CVE-2026-21668は、リポジトリアクセスを持つ攻撃者がバックアップインフラストラクチャ上で任意のファイルを操作できるようにし、保存されたバックアップデータに影響を与える可能性があります。また、CVE-2026-21672は、ローカル権限昇格の欠陥であり、Veeamサーバー上で権限が限定されたアクセスを持つ攻撃者が権限を昇格させることを可能にします。
アドバイザリは、一部の脆弱性がVeeamのHackerOne上のバグバウンティプログラムを通じて報告された一方で、他の脆弱性は内部テスト中に発見されたと述べました。Veeamは野生での悪用について言及していませんが、バックアップおよびレプリケーションのバグは過去に繰り返し武器化されています。
パッチが利用可能です
Veeamは、組織がパッチ適用されたビルドをすぐに適用すべきであると警告し、脆弱性の開示が攻撃者がパッチをリバースエンジニアリングしてパッチが適用されていないシステムの悪用を開発しようとする試みを頻繁にトリガーすることに注意しました。
これらの問題はVeeam Backup & Replication 12.3.2.4465で修正されており、サポートされていないまたは古いビルドを実行している組織は、脆弱である可能性があると想定し、すぐにアップグレードする必要があります。最新のバグの周りの緊急性は、Veeam Backup & Replicationが最近数年間に繰り返し重大な脆弱性に直面しており、その一部が攻撃者によって積極的に悪用されているという事実によって増幅されます。
2024年、セキュリティ機関は、ランサムウェアグループがCVE-2024-40711(認証なしでリモートコード実行を可能にするプラットフォーム内の重大な欠陥)を悪用していると警告しました。攻撃者はこの脆弱性を使用してバックアップサーバーを侵害し、ランサムウェアキャンペーンの一部として復旧データを削除しました。このパターンは2025年に続き、VeeamがCVE-2025-23120(ドメイン参加環境でバックアップサーバー上でコードを実行できる別の重大なRCEバグ)をパッチしました。
高深刻度のバグの継続的な流れと実世界の悪用の歴史により、Veeam Backup & Replicationを実行している組織にとって適時のパッチ適用が重要になります。組織はバックアップシステムを、強いアクセス制御と分離が必要な高度に特権化されたインフラストラクチャとして扱う必要があります。
