A Veeam divulgou atualizações de segurança para corrigir uma falha crítica no Backup & Replication que pode ser explorada para executar código remotamente, ou RCE, em servidores de backup associados a um domínio.
A vulnerabilidade, identificada como CVE-2026-44963 e reportada pelo pesquisador de segurança Sina Kheirkhah, da WatchTowr, afeta o Veeam Backup & Replication (VBR) 12.3.2.4465 e todas as versões anteriores da linha 12.
O problema foi corrigido na versão 12.3.2.4854.
Embora qualquer usuário do domínio com privilégios baixos possa explorar a falha, o impacto se limita às instalações do Veeam Backup & Replication conectadas a um domínio.
“Uma vulnerabilidade que permite execução remota de código no Backup Server por um usuário autenticado do domínio”, informou a Veeam em um comunicado divulgado na terça-feira.
“Essa vulnerabilidade não afeta nenhuma versão 13.x do Veeam Backup & Replication devido a mudanças arquiteturais introduzidas a partir da versão 13.”
Na prática, porém, muitas empresas ainda mantêm seus servidores da Veeam integrados a um domínio do Windows, contrariando as boas práticas recomendadas pela própria companhia há anos.
Até o momento, não há relatos de exploração ativa.
Ainda assim, a Veeam alertou que atacantes costumam começar a desenvolver exploits assim que os patches são liberados.
“É importante observar que, uma vez que uma vulnerabilidade e seu patch associado são divulgados, os atacantes provavelmente tentarão reverter a engenharia do patch para explorar implantações não corrigidas do software da Veeam”, acrescentou a empresa.
“Essa realidade reforça a importância crítica de garantir que todos os clientes usem as versões mais recentes de nosso software e instalem todas as atualizações e patches sem demora.”
Em declarações anteriores ao BleepingComputer, grupos de ransomware afirmaram que sempre miram servidores de backup da Veeam porque isso lhes permite roubar dados sensíveis, se mover lateralmente em redes comprometidas e bloquear tentativas de recuperação ao apagar os backups das vítimas.
Nos últimos anos, a Cybersecurity and Infrastructure Security Agency, a CISA, já sinalizou quatro falhas do Veeam Backup & Replication como exploradas ativamente em ataques, todas abusadas por grupos de ransomware.
Em novembro de 2024, por exemplo, a Sophos X-Ops relatou que outra falha crítica de RCE no VBR, identificada como CVE-2024-40711, havia sido transformada em arma por várias operações de ransomware, incluindo os grupos Akira, Fog e Frag.
O grupo FIN7, motivado financeiramente e frequentemente associado a operações com Maze, Egregor, Conti, REvil e BlackBasta, também foi ligado a ataques que exploravam falhas de segurança no VBR.
O grupo Cuba ransomware aparece no mesmo conjunto de ameaças relacionadas a esse tipo de ataque.
Os produtos da Veeam são usados por mais de 550.000 clientes em todo o mundo, incluindo 82% das empresas da Fortune 500 e 74% das companhias da Global 2.000.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...