A empresa de proteção de dados Veeam Software lançou patches para corrigir diversas vulnerabilidades em sua solução Backup & Replication (VBR), incluindo quatro falhas críticas de execução remota de código (RCE).
O VBR é um software corporativo de backup e recuperação de dados, utilizado por administradores de TI para criar cópias de segurança de informações essenciais, garantindo restauração rápida após ataques cibernéticos ou falhas de hardware.
Três das falhas RCE corrigidas (
CVE-2026-21666
,
CVE-2026-21667
e
CVE-2026-21669
) permitem que usuários com privilégios reduzidos no domínio executem código remotamente nos servidores de backup vulneráveis por meio de ataques de baixa complexidade.
A quarta vulnerabilidade (
CVE-2026-21708
) possibilita que um usuário com acesso via Backup Viewer obtenha execução remota de código com privilégios do usuário postgres.
Além dessas, a Veeam corrigiu diversos bugs de alta gravidade que poderiam ser explorados para escalonamento de privilégios em servidores Windows com VBR, extração de credenciais SSH armazenadas e manipulação indevida de arquivos em um Backup Repository, mesmo diante de restrições.
As falhas foram identificadas tanto em testes internos quanto por meio de relatórios recebidos via HackerOne.
As correções estão disponíveis nas versões 12.3.2.4465 e 13.0.1.2067 do Veeam Backup & Replication.
A empresa orienta administradores a atualizarem o software o quanto antes, já que agentes maliciosos frequentemente desenvolvem exploits logo após o lançamento dos patches.
Segundo a Veeam, uma vez que a correção é divulgada, criminosos podem realizar engenharia reversa para atacar sistemas que ainda não foram atualizados.
O VBR é amplamente utilizado por provedores de serviços gerenciados e por empresas de médio a grande porte.
Porém, servidores VBR são alvos frequentes de gangues de ransomware, pois facilitam movimentação lateral dentro das redes comprometidas, permitem roubo de dados e bloqueiam rapidamente tentativas de restauração ao excluir backups das vítimas.
Grupos financeiros como o FIN7 — que já colaborou com gangues como Conti, REvil, Maze, Egregor e BlackBasta — e o Cuba ransomware já foram associados a ataques explorando vulnerabilidades no VBR.
Em novembro de 2024, a equipe de resposta a incidentes Sophos X-Ops revelou que o ransomware Frag explorou uma vulnerabilidade RCE do VBR divulgada dois meses antes, mesma falha utilizada em ataques dos ransomwares Akira e Fog iniciados em outubro de 2024.
A Veeam informa que sua base de clientes ultrapassa 550 mil usuários no mundo todo, incluindo 74% das empresas Global 2000 e 82% das integrantes da Fortune 500.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...