A Veeam lançou atualizações de segurança para corrigir uma falha crítica de segurança que afeta seu software Backup & Replication, a qual poderia levar à execução remota de código (RCE, Remote Code Execution).
A vulnerabilidade, identificada como
CVE-2025-23120
, recebeu uma pontuação CVSS de 9,9 em 10,0.
Ela afeta a versão 12.3.0.310 e todas as versões anteriores da versão 12.
"Uma vulnerabilidade que permite a execução remota de código por usuários de domínio autenticados", disse a empresa em um comunicado divulgado na quarta-feira(19).
O pesquisador de segurança Piotr Bazydlo, da watchTowr, foi creditado pela descoberta e relatório da falha, que foi resolvida na versão 12.3.1 (build 12.3.1.1139).
De acordo com Bazydlo e o pesquisador Sina Kheirkhah, a
CVE-2025-23120
origina-se do tratamento inconsistente, por parte da Veeam, do mecanismo de deserialização, causando o uso de uma classe na allowlist que pode ser deserializada, abrindo caminho para uma deserialização interna que implementa uma abordagem baseada em blocklist para prevenir a deserialização de dados considerados arriscados pela empresa.
Isso também significa que um ator de ameaça poderia aproveitar um gadget de deserialização que está ausente da blocklist – nomeadamente, Veeam.Backup.EsxManager.xmlFrameworkDs e Veeam.Backup.Core.BackupSummary – para alcançar a execução remota de código.
"Essas vulnerabilidades podem ser exploradas por qualquer usuário que pertença ao grupo de usuários locais no host Windows do seu servidor Veeam," disseram os pesquisadores.
Melhor ainda - se você associou seu servidor ao domínio, essas vulnerabilidades podem ser exploradas por qualquer usuário do domínio.
O patch introduzido pela Veeam adiciona os dois gadgets à blocklist existente, significando que a solução poderia novamente se tornar suscetível a riscos semelhantes se outros gadgets de deserialização viáveis forem descobertos.
Este desenvolvimento ocorre enquanto a IBM disponibilizou correções para remediar duas falhas críticas em seu sistema operacional AIX que poderiam permitir a execução de comandos.
A lista de deficiências, que afeta as versões 7.2 e 7.3 do AIX, está abaixo :
-
CVE-2024-56346
(pontuação CVSS: 10,0) - Uma vulnerabilidade de controle de acesso impróprio que poderia permitir a um atacante remoto executar comandos arbitrários via serviço mestre AIX nimesis NIM,
-
CVE-2024-56347
(pontuação CVSS: 9,6) - Uma vulnerabilidade de controle de acesso impróprio que poderia permitir a um atacante remoto executar comandos arbitrários via mecanismo de proteção SSL/TLS do serviço AIX nimsh
Embora não haja evidências de que essas falhas críticas tenham sido exploradas no ambiente de produção, aconselha-se que os usuários se movam rapidamente para aplicar as correções necessárias para se proteger contra possíveis ameaças.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...