Veeam устранила критическую RCE-уязвимость, идентифицируемую как CVE-2025-23120, в своем ПО для резервного копирования и репликации, которая влияет на установки, присоединенные к домену, и позволяет пользователям домена взламывать серверы.
Уязвимость была обнаружена вчера и затрагивает Veeam Backup & Replication версии 12.3.0.310 (и все более ранние сборки версии 12).
Компания исправила ее в версии 12.3.1 (сборка 12.3.1.1139), которая уже доступна.
Согласно техническому описанию обнаружившей ошибку watchTowr Labs, CVE-2025-23120 представляет собой уязвимость десериализации в классах Veeam.Backup.EsxManager.xmlFrameworkDs и Veeam.Backup.Core.BackupSummary .NET.
Она возникает, когда приложение неправильно обрабатывает сериализованные данные, что позволяет злоумышленникам внедрять вредоносные объекты или гаджеты, которые могут выполнять вредоносный код.
В прошлом году, исправляя другую проблему десериализации RCE, обнаруженную исследователем Флорианом Хаузером, Veeam ввела черный список известных классов или объектов, которые могут быть использованы.
Однако watchTowr удалось найти другую цепочку гаджетов, которая не была занесена в черный список, для удаленного выполнения кода.
Хорошей новостью является то, что уязвимость затрагивает только те установки Veeam Backup & Replication, которые присоединены к домену.
Плохая новость заключается в том, что любой пользователь домена может воспользоваться этой уязвимостью, что делает ее легко эксплуатируемой в этих конфигурациях.
К сожалению, многие компании присоединили свои серверы Veeam к домену Windows, проигнорировав рекомендации компании, даже несмотря на то, что серверы Veeam Backup & Replication были и остаются любимой игрушкой банд вымогателей.
Несмотря на то, что пока сообщений об эксплуатации этой уязвимости в реальных условиях не поступало, watchTowr поделилась достаточным объемом технических подробностей, так что, вероятно, в ближайшее время будет выпущен PoC.
Компаниям, использующим Veeam Backup & Replication, следует выполнить обновление до версии 12.3.1 как можно скорее, а в идеале отключить сервер от домена.
Уязвимость была обнаружена вчера и затрагивает Veeam Backup & Replication версии 12.3.0.310 (и все более ранние сборки версии 12).
Компания исправила ее в версии 12.3.1 (сборка 12.3.1.1139), которая уже доступна.
Согласно техническому описанию обнаружившей ошибку watchTowr Labs, CVE-2025-23120 представляет собой уязвимость десериализации в классах Veeam.Backup.EsxManager.xmlFrameworkDs и Veeam.Backup.Core.BackupSummary .NET.
Она возникает, когда приложение неправильно обрабатывает сериализованные данные, что позволяет злоумышленникам внедрять вредоносные объекты или гаджеты, которые могут выполнять вредоносный код.
В прошлом году, исправляя другую проблему десериализации RCE, обнаруженную исследователем Флорианом Хаузером, Veeam ввела черный список известных классов или объектов, которые могут быть использованы.
Однако watchTowr удалось найти другую цепочку гаджетов, которая не была занесена в черный список, для удаленного выполнения кода.
Хорошей новостью является то, что уязвимость затрагивает только те установки Veeam Backup & Replication, которые присоединены к домену.
Плохая новость заключается в том, что любой пользователь домена может воспользоваться этой уязвимостью, что делает ее легко эксплуатируемой в этих конфигурациях.
К сожалению, многие компании присоединили свои серверы Veeam к домену Windows, проигнорировав рекомендации компании, даже несмотря на то, что серверы Veeam Backup & Replication были и остаются любимой игрушкой банд вымогателей.
Несмотря на то, что пока сообщений об эксплуатации этой уязвимости в реальных условиях не поступало, watchTowr поделилась достаточным объемом технических подробностей, так что, вероятно, в ближайшее время будет выпущен PoC.
Компаниям, использующим Veeam Backup & Replication, следует выполнить обновление до версии 12.3.1 как можно скорее, а в идеале отключить сервер от домена.
